nylig tilgjengeligheten av den nye versjonen av sandboxing bobleplast 0.6, der det er gjort noen viktige endringer som inkludering av støtte for kompilering med Meson, delvis støtte for REUSE-spesifikasjonen og noen få andre endringer.
For de som ikke er klar over Bubblewrap, bør du vite at dette er en verktøy som vanligvis brukes til å begrense individuelle applikasjoner til ikke-privilegerte brukere. I praksis bruker Flatpak-prosjektet Bubblewrap som et lag for å isolere applikasjoner som er lansert fra pakker.
For isolasjon bruker Linux virtualiseringsteknologier av tradisjonelle containere basert på bruk av cgroups, namespaces, Seccomp og SELinux. For å utføre privilegerte operasjoner for å konfigurere en container, startes Bubblewrap med root-privilegier (en kjørbar fil med et suid-flagg), etterfulgt av en tilbakestilling av privilegier etter at beholderen er initialisert.
Om Bubblewrap
Bubblewrap er posisjonert som en begrenset suida-implementering fra delsettet av brukernavnfunksjonene for å ekskludere alle bruker- og prosess-ID-er fra miljøet unntatt den nåværende, bruk modusene CLONE_NEWUSER og CLONE_NEWPID.
For ytterligere beskyttelse, programmer som kjører i Bubblewrap starter i modus PR_SET_NO_NEW_PRIVS, som forbyder nye privilegier, for eksempel med setuid-flagget.
Isolering på filsystemnivå gjøres ved å opprette, som standard, et nytt monteringsnavnområde, der en tom rotpartisjon opprettes ved hjelp av tmpfs.
Om nødvendig er de eksterne FS-seksjonene knyttet til denne delen i «monter –bind»(Starter for eksempel med alternativet«bwrap –ro-bind / usr / usr', Seksjonen / usr videresendes fra verten i skrivebeskyttet modus).
Mulighetene til nettverk er begrenset til tilgang til loopback-grensesnittet invertert med nettverksstabelisolering via indikatorer CLONE_NEWNET og CLONE_NEWUTS.
Hovedforskjellen med det lignende Firejail-prosjektet, som også bruker setuid launcher, er det i Bubblewrap, beholderlaget inneholder bare de minste nødvendige funksjonene og alle de avanserte funksjonene som kreves for å starte grafiske applikasjoner, samhandle med skrivebordet og filtrere anrop til Pulseaudio, blir brakt til siden av Flatpak og kjørt etter at rettighetene er tilbakestilt.
Hovednyhetene til Bubblewrap 0.6
I denne nye versjonen av Bubblewrap 0.6 som presenteres, er det fremhevet at lagt til støtte for byggesystemet Meson, hvorved støtte for kompilering med Autoverktøy er bevart for nå, men det er meningen at dette den vil bli fjernet til fordel for bruk av Meson i en fremtidig utgivelse.
En annen nyhet i denne nye versjonen av Bubblewrap 0.6 er implementeringen av alternativet "–add-seccomp" for å legge til mer enn ett seccomp-program, la også til en advarsel om at hvis "–secomp"-alternativet spesifiseres igjen, vil bare det siste alternativet bli brukt.
Det bemerkes også at delvis støtte for REUSE-spesifikasjonen, som forener prosessen med å spesifisere lisens- og opphavsrettsinformasjon.
I tillegg ble det også lagt til overskrifter SPDX-License-Identifier til mange filer av kode. Å følge REUSE-retningslinjene gjør det enkelt å automatisk bestemme hvilken lisens som gjelder for hvilke deler av søknadskoden din.
På den annen side, lagt til sjekk av argumenttellerverdi fra kommandolinjen (argc) og implementerte en nødutgang hvis telleren er null. Endringen sLar deg blokkere sikkerhetsproblemer forårsaket av feil håndtering av beståtte kommandolinjeargumenter, for eksempel CVE-2021-4034 i Polkit
Av de andre endringene som skiller seg ut fra denne nye versjonen:
- Hovedgrenen i git-depotet har fått nytt navn til hoved
- Fjern gammel CI-integrasjon
- Bruker bash via PATH for bedre kompatibilitet med ikke-FHS-operativsystemer
endelig hvis du er det interessert i å vite litt mer om det om denne nye versjonen, kan du sjekke detaljene I den følgende lenken.