Neseniai prieinamumas nauja smėlio dėžės versija burbulinė plėvelė 0.6, kuriame buvo atlikti kai kurie svarbūs pakeitimai, pvz., įtrauktas kompiliavimo su Meson palaikymas, dalinis REUSE specifikacijos palaikymas ir keletas kitų pakeitimų.
Tiems, kurie nežino apie Bubblewrap, turėtumėte žinoti, kad tai a įrankis, paprastai naudojamas apriboti atskiras programas, kad jos galėtų naudotis neprivilegijuotais vartotojais. Praktiškai „Flatpak“ projektas naudoja „Bubblewrap“ kaip sluoksnį, kad atskirtų programas, paleistas iš paketų.
Norėdami izoliuoti, „Linux“ naudoja virtualizacijos technologijas tradicinių talpyklų, pagrįstų grupių, vardų, „Seccomp“ ir „SELinux“ naudojimu. Norint atlikti privilegijuotas operacijas norint sukonfigūruoti sudėtinį rodinį, „Bubblewrap“ paleidžiamas su root teisėmis (vykdomasis failas su suid vėliava), o po to, kai inicializuojamas konteineris, nustatoma privilegija.
Apie „Bubblewrap“
„Bubblewrap“ yra ribotas „suida“ įgyvendinimas iš vartotojo vardų sričių funkcijų pogrupio, kad iš aplinkos, išskyrus dabartinę, pašalintumėte visus vartotojo ir proceso ID, naudokite režimus CLONE_NEWUSER ir CLONE_NEWPID.
Norėdami papildomai apsaugoti, programos, veikiančios „Bubblewrap“, paleidžiamos režimu PR_SET_NO_NEW_PRIVS, tai draudžia naujas privilegijas, pavyzdžiui, su „setuid“ vėliava.
Izoliacija failų sistemos lygiu atliekama pagal numatytuosius nustatymus sukūrus naują prijungimo vardų sritį, kurioje naudojant tmpfs sukuriamas tuščias šaknies skaidinys.
Jei reikia, išoriniai FS skyriai prie šio skyriaus pridedami «kalnas –riš»(Pavyzdžiui, pradedant parinktimi«bwrap –ro-bind / usr / usr', / Usr skyrius persiunčiamas iš pagrindinio kompiuterio tik skaitymo režimu).
Galimybės tinklas yra apribotas prieiga prie kilpos sąsajos apverstas tinklo kamino izoliacija naudojant indikatorius CLONE_NEWNET ir CLONE_NEWUTS.
Pagrindinis skirtumas nuo panašaus „Firejail“ projekto, kuris taip pat naudoja „setuid“ paleidimo priemonę, yra „Bubblewrap“, konteinerio sluoksnyje yra tik būtiniausios būtinos savybės ir visos išplėstinės funkcijos, reikalingos grafinėms programoms paleisti, sąveikauti su darbalaukiu ir filtruoti skambučius į „Pulseaudio“, yra pateikiamos kartu su „Flatpak“ ir vykdomos iš naujo nustačius teises.
Pagrindinės Bubblewrap 0.6 naujovės
Šioje pristatomoje naujoje Bubblewrap 0.6 versijoje pabrėžiama, kad papildoma parama kūrimo sistema Mesonas, kuriuo parama kompiliavimui su Autotools buvo išsaugotas dabar, bet ketinama tai jis bus pašalintas, kad ateityje būtų galima naudoti Meson.
Dar viena naujovė šioje naujoje „Bubblewrap 0.6“ versijoje yra šios parinkties įgyvendinimas „–add-seccomp“, jei norite pridėti daugiau nei vieną seccomp programą, taip pat pridėjo įspėjimą, kad jei dar kartą nurodoma parinktis „–seccomp“, bus taikoma tik paskutinė parinktis.
Taip pat pažymima, kad dalinis REUSE specifikacijos palaikymas, kuris suvienija licencijos ir autorių teisių informacijos patikslinimo procesą.
Be to, buvo pridėtos antraštės Daugelio failų SPDX licencijos identifikatorius kodo. Vadovaudamiesi REUSE gairėmis galite lengvai automatiškai nustatyti, kuri licencija taikoma kurioms jūsų programos kodo dalims.
Kita vertus, pridūrė argumentų skaitiklio vertės patikrinimas iš komandinės eilutės (argc) ir įdiegtas avarinis išėjimas, jei skaitiklis yra nulis. Pakeitimas pLeidžia blokuoti saugumo problemas sukelia neteisingas perduodamų komandų eilutės argumentų, pvz., CVE-2021-4034 Polkit, tvarkymas
Iš kitų pokyčių kurie išsiskiria iš šios naujos versijos:
- Pagrindinė šaka git saugykloje buvo pervadinta į pagrindinę
- Pašalinkite seną CI integraciją
- Naudojant bash per PATH, kad būtų geriau suderinama su ne FHS operacinėmis sistemomis
pagaliau jei esi norėtų sužinoti daugiau apie tai apie šią naują versiją galite patikrinti išsamią informaciją Šioje nuorodoje.