अलीकडे ची उपलब्धता सँडबॉक्सिंगची नवीन आवृत्ती बबल रॅप 0.6, ज्यामध्ये काही महत्त्वाचे बदल केले गेले आहेत जसे की मेसनसह संकलनासाठी समर्थनाचा समावेश, REUSE तपशीलासाठी आंशिक समर्थन आणि काही इतर बदल.
ज्यांना Bubblewrap बद्दल माहिती नाही त्यांच्यासाठी हे माहित असले पाहिजे की ए युटिलिटी सामान्यत: गैर-विशेषाधिकारित वापरकर्त्यांसाठी वैयक्तिक अनुप्रयोग प्रतिबंधित करण्यासाठी वापरली जाते. सराव मध्ये, फ्लॅटपॅक प्रकल्प पॅकेजेसमधून लॉन्च केलेल्या अनुप्रयोगांना वेगळे करण्यासाठी एक स्तर म्हणून बबलरॅप वापरतो.
अलगावसाठी, लिनक्स व्हर्च्युअलायझेशन तंत्रज्ञान वापरतो cgroups, नेमस्पेसेस, Seccomp आणि SELinux च्या वापरावर आधारित पारंपारिक कंटेनर कंटेनर कॉन्फिगर करण्यासाठी विशेषाधिकारित ऑपरेशन्स करण्यासाठी, बबलपॅप रूट विशेषाधिकारांसह (सुईड ध्वजांसह एक्झिक्यूटेबल फाइल) सह प्रारंभ केले जाते, त्यानंतर कंटेनर आरंभ झाल्यानंतर विशेषाधिकार रीसेट होते.
बबलवॅप बद्दल
बबलवॅप मर्यादित सूदा अंमलबजावणी म्हणून स्थित आहे सध्याच्या व्यतिरिक्त सर्व उपयोक्त्यांना व वातावरणावरील प्रक्रिया आयडी वगळण्यासाठी वापरकर्त्याच्या नेमस्पेस फंक्शन्सच्या उपसेटमधून, रीती वापरा CLONE_NEWUSER आणि CLONE_NEWPID.
अतिरिक्त संरक्षणासाठी, बबलवॅपमध्ये चालणारे प्रोग्राम मोडमध्ये सुरू होतात PR_SET_NO_NEW_PRIVS, जे नवीन विशेषाधिकारांना प्रतिबंधित करते, उदाहरणार्थ, सेटूइड ध्वजासह.
पूर्वनिर्धारितपणे, नवीन माउंट नेमस्पेस तयार करून फाइलप्रणाली स्तरावर पृथक्करण केले जाते, ज्यामध्ये रिकामे रूट विभाजन tmpfs चा वापर करून तयार केले जाते.
आवश्यक असल्यास, बाह्य एफएस विभाग in मधील या विभागात संलग्न केलेले आहेत.माउंट ओबिंद»(उदाहरणार्थ, पर्यायासह प्रारंभ करणे«bwrap –ro-bind / usr / usr', / Usr विभाग केवळ-वाचनीय मोडमध्ये होस्टकडून अग्रेषित केला आहे).
च्या क्षमता नेटवर्क लूपबॅक इंटरफेसमध्ये प्रवेश करण्यासाठी मर्यादित आहेत निर्देशकांद्वारे नेटवर्क स्टॅक अलगावसह व्यस्त CLONE_NEWNET आणि CLONE_NEWUTS.
तत्सम फायरजेल प्रोजेक्टमधील मुख्य फरक, जे सेट्युइड लाँचर देखील वापरते, ते म्हणजे बबलवॅपमध्ये, कंटेनर थरात फक्त किमान आवश्यक वैशिष्ट्ये समाविष्ट आहेत आणि ग्राफिकल launchप्लिकेशन्स लॉन्च करण्यासाठी आवश्यक सर्व प्रगत कार्ये, डेस्कटॉपशी संवाद साधणे आणि पल्सॉडियोला फिल्टर कॉल करणे फ्लॅटपाकच्या बाजूला आणले जातात आणि विशेषाधिकार रीसेट केल्यावर चालवतात.
बबलरॅप 0.6 ची मुख्य नवीनता
सादर केलेल्या बबलरॅप 0.6 च्या या नवीन आवृत्तीमध्ये, हे हायलाइट केले आहे साठी समर्थन जोडले बिल्ड सिस्टम मेसन, ज्याद्वारे संकलित करण्यासाठी समर्थन साठी ऑटोटूल्स जतन केले गेले आहेत आता, परंतु हे हेतू आहे की हे भविष्यातील प्रकाशनात मेसन वापरण्याच्या बाजूने ते काढले जाईल.
Bubblewrap 0.6 च्या या नवीन आवृत्तीमधील आणखी एक नवीनता म्हणजे पर्यायाची अंमलबजावणी एकापेक्षा जास्त seccomp प्रोग्राम जोडण्यासाठी “–add-seccomp”, एक चेतावणी देखील जोडली की जर “–seccomp” पर्याय पुन्हा निर्दिष्ट केला असेल, तर फक्त शेवटचा पर्याय लागू केला जाईल.
हे देखील लक्षात घेतले आहे की REUSE तपशीलासाठी आंशिक समर्थन, जे परवाना आणि कॉपीराइट माहिती निर्दिष्ट करण्याच्या प्रक्रियेस एकत्रित करते.
त्याशिवाय शीर्षलेख देखील जोडले गेले अनेक फायलींसाठी SPDX-परवाना-आयडेंटिफायर कोडचा. REUSE मार्गदर्शक तत्त्वांचे पालन केल्याने तुमच्या अर्ज कोडच्या कोणत्या भागांवर कोणता परवाना लागू होतो हे आपोआप निर्धारित करणे सोपे होते.
दुसरीकडे, जोडले युक्तिवाद काउंटर मूल्य तपासणी कमांड लाइन (argc) वरून आणि काउंटर शून्य असल्यास आपत्कालीन निर्गमन लागू केले. बदल पीतुम्हाला सुरक्षा समस्या अवरोधित करण्याची अनुमती देते पोलकिट मधील CVE-2021-4034 सारख्या पास केलेल्या कमांड लाइन वितर्कांच्या चुकीच्या हाताळणीमुळे
इतर बदलांपैकी जे या नवीन आवृत्तीत उभे आहे:
- गिट रेपॉजिटरीमधील मुख्य शाखेचे नाव बदलून मुख्य केले गेले आहे
- जुने CI एकत्रीकरण काढा
- नॉन-एफएचएस ऑपरेटिंग सिस्टीमसह चांगल्या सुसंगततेसाठी PATH द्वारे बॅश वापरणे
शेवटी तुम्ही असाल तर याबद्दल थोडे अधिक जाणून घेण्यात स्वारस्य आहे या नवीन आवृत्तीबद्दल, आपण तपशील तपासू शकता पुढील लिंकवर