לאחרונה הזמינות של הגרסה החדשה של ארגז חול ניילון בועות 0.6, בהם בוצעו כמה שינויים חשובים כמו הכללת תמיכה בקומפילציה עם Meson, תמיכה חלקית במפרט REUSE ועוד כמה שינויים.
למי שלא מודע ל-Bubblewrap, כדאי לדעת שזהו א כלי עזר המשמש בדרך כלל להגבלת יישומים בודדים למשתמשים שאינם מורשים. בפועל, פרויקט Flatpak משתמש ב-Bubblewrap כשכבה כדי לבודד אפליקציות שהושקו מחבילות.
לצורך בידוד, לינוקס משתמשת בטכנולוגיות וירטואליזציה של מכולות מסורתיות המבוססות על שימוש בקבוצות קבוצות, מרחבי שמות, Seccomp ו- SELinux. כדי לבצע פעולות מיוחדות להגדרת תצורה של מכולה, Bubblewrap מופעל עם הרשאות שורש (קובץ הפעלה עם דגל suid), ואחריו איפוס הרשאות לאחר אתחול המיכל.
על Bubblewrap
Bubblewrap ממוקם כמימוש מוגבל של סווידה מקבוצת המשנה של פונקציות מרחב שמות המשתמשים כדי לא לכלול את כל מזהי המשתמשים והתהליך מהסביבה למעט הנוכחי, השתמש במצבים CLONE_NEWUSER ו- CLONE_NEWPID.
להגנה נוספת, תוכניות הפועלות ב- Bubblewrap מתחילות במצב PR_SET_NO_NEW_PRIVS, האוסר על הרשאות חדשות, למשל, עם דגל setuid.
בידוד ברמת מערכת הקבצים נעשה על ידי יצירת, כברירת מחדל, מרחב שמות הר חדש, בו נוצרת מחיצת שורש ריקה באמצעות tmpfs.
במידת הצורך, חלקי ה- FS החיצוניים מצורפים לסעיף זה בסעיף «הר –קשור»(לדוגמה, החל מהאפשרות«bwrap –ro-bind / usr / usr', החלק / usr מועבר מהמארח במצב קריאה בלבד).
היכולות של הרשת מוגבלת לגישה לממשק ה-loopback הפוך עם בידוד מחסנית הרשת באמצעות אינדיקטורים CLONE_NEWNET ו- CLONE_NEWUTS.
ההבדל העיקרי בפרויקט Firejail דומה, שמשתמש גם במשגר setuid, הוא שב- Bubblewrap, שכבת המיכל כוללת רק את התכונות הנדרשות ביותר וכל הפונקציות המתקדמות הנדרשות להפעלת יישומים גרפיים, אינטראקציה עם שולחן העבודה וסינון שיחות ל- Pulseaudio, מובאות לצד Flatpak ורצות לאחר איפוס ההרשאות.
החידושים העיקריים של Bubblewrap 0.6
בגרסה החדשה הזו של Bubblewrap 0.6 שמוצגת, מודגש כי נוספה תמיכה עבור מערכת הבנייה Meson, לפיה תמיכה בהידור עם הכלים האוטומטיים נשמרו עבור עכשיו, אבל הכוונה היא לכך הוא יוסר לטובת שימוש ב-Meson במהדורה עתידית.
חידוש נוסף בגרסה החדשה הזו של Bubblewrap 0.6 הוא יישום האפשרות "–add-seccomp" כדי להוסיף יותר מתוכנית seccomp אחת, הוסיפה גם אזהרה שאם האפשרות "–secomp" תצוין שוב, רק האפשרות האחרונה תוחל.
כמו כן מצוין כי תמיכה חלקית במפרט REUSE, המאחד את התהליך של ציון מידע על רישיון וזכויות יוצרים.
חוץ מזה נוספו גם כותרות SPDX-License-Identifier לקבצים רבים של קוד. הקפדה על הנחיות REUSE מאפשרת לקבוע באופן אוטומטי איזה רישיון חל על אילו חלקים בקוד היישום שלך.
מצד שני, הוסיף בדיקת ערך מונה ארגומנטים משורת הפקודה (argc) והטמעה יציאת חירום אם המונה אפס. השינוי עמאפשר לך לחסום בעיות אבטחה נגרם מטיפול שגוי בארגומנטים של שורת הפקודה שעברו, כגון CVE-2021-4034 ב-Polkit
משאר השינויים הבולטים מהגרסה החדשה הזו:
- הענף הראשי במאגר git שונה ל-main
- הסר שילוב CI ישן
- שימוש ב-bash דרך PATH לתאימות טובה יותר עם מערכות הפעלה שאינן FHS
סוף סוף אם אתה מעוניין לדעת קצת יותר על זה לגבי הגרסה החדשה הזו, תוכלו לבדוק את הפרטים בקישור הבא.