最近 の可用性 サンドボックスの新しいバージョン プチプチ0.6、 Mesonを使用したコンパイルのサポートの追加、REUSE仕様の部分的なサポート、その他のいくつかの変更など、いくつかの重要な変更が加えられました。
バブルラップに気付いていない人は、これが 通常、個々のアプリケーションを非特権ユーザーに制限するために使用されるユーティリティ。 実際には、FlatpakプロジェクトはBubblewrapをレイヤーとして使用して、パッケージから起動されたアプリケーションを分離します。
分離のために、Linuxは仮想化テクノロジーを使用します cgroups、namespaces、Seccomp、SELinuxの使用に基づく従来のコンテナーの例。 コンテナーを構成するための特権操作を実行するために、Bubblewrapはroot特権(suidフラグを持つ実行可能ファイル)で開始され、コンテナーが初期化された後に特権がリセットされます。
プチプチについて
バブルラップは、限定的なスイダの実装として位置付けられています ユーザー名前空間関数のサブセットから、現在のIDを除くすべてのユーザーIDとプロセスIDを環境から除外するには、モードを使用します CLONE_NEWUSERおよびCLONE_NEWPID.
追加の保護のために、 バブルラップで実行されているプログラムは、モードで起動します PR_SET_NO_NEW_PRIVS, それは新しい特権を禁止します、 たとえば、setuidフラグを使用します。
ファイルシステムレベルでの分離は、デフォルトで新しいマウント名前空間を作成することによって行われます。この名前空間では、tmpfsを使用して空のルートパーティションが作成されます。
必要に応じて、外部FSセクションは«のこのセクションに接続されますマウント–バインド»(たとえば、オプション«から始めるbwrap –ro-bind / usr / usr'、/ usrセクションは、読み取り専用モードでホストから転送されます)。
の機能 ネットワークは、ループバックインターフェイスへのアクセスに制限されています インジケータを介したネットワークスタック分離で反転 CLONE_NEWNETおよびCLONE_NEWUTS。
同様のFirejailプロジェクトとの主な違いは setuidランチャーも使用します。これはBubblewrapのランチャーです。 コンテナレイヤーには、必要最小限の機能のみが含まれています また、グラフィカルアプリケーションの起動、デスクトップとの対話、Pulseaudioへの呼び出しのフィルタリングに必要なすべての高度な機能は、Flatpakと一緒に提供され、特権がリセットされた後に実行されます。
バブルラップ0.6の主なノベルティ
提示されているこの新しいバージョンのBubblewrap0.6では、次のことが強調されています。 のサポートが追加されました ビルドシステム 中間子、それによってコンパイルのサポート Autotoolsは 今、しかしそれはこれが意図されています 将来のリリースでMesonを使用するために、削除される予定です。
この新しいバージョンのBubblewrap0.6のもうXNUMXつの目新しさは、オプションの実装です。 「–add-seccomp」は、複数のseccompプログラムを追加します。 また、「-seccomp」オプションを再度指定すると、最後のオプションのみが適用されるという警告が追加されました。
また、 REUSE仕様の部分的なサポート、ライセンスおよび著作権情報を指定するプロセスを統合します。
そのほかにヘッダーも追加されました SPDX-ライセンス-多くのファイルの識別子 コードの。 REUSEガイドラインに従うと、アプリケーションコードのどの部分にどのライセンスが適用されるかを簡単に自動的に判断できます。
一方、追加 引数カウンター値チェック コマンドライン(argc)から、カウンターがゼロの場合に非常口を実装しました。 変化pセキュリティの問題をブロックできます PolkitのCVE-2021-4034など、渡されたコマンドライン引数の誤った処理が原因で発生します
その他の変更点 この新しいバージョンから際立っている:
- gitリポジトリのマスターブランチの名前がmainに変更されました
- 古いCI統合を削除する
- 非FHSオペレーティングシステムとの互換性を高めるためにPATH経由でbashを使用する
最後にあなたが それについてもう少し知りたい この新バージョンについては、詳細を確認できます 次のリンクで。