Nedávno dostupnosť novú verziu sandboxingu bublinková fólia 0.6, v ktorom boli vykonané niektoré dôležité zmeny, ako je zahrnutie podpory pre kompiláciu s Meson, čiastočná podpora pre špecifikáciu REUSE a niekoľko ďalších zmien.
Pre tých, ktorí nepoznajú Bubblewrap, mali by ste vedieť, že ide o a nástroj, ktorý sa zvyčajne používa na obmedzenie jednotlivých aplikácií na neprivilegovaných používateľov. V praxi projekt Flatpak používa Bubblewrap ako vrstvu na izoláciu aplikácií spúšťaných z balíkov.
Na izoláciu používa Linux virtualizačné technológie tradičných kontajnerov založených na použití skupín, skupín mien, Seccomp a SELinux. Na vykonanie privilegovaných operácií na konfiguráciu kontajnera je Bubblewrap spustený s oprávneniami root (spustiteľný súbor s príznakom suid), po ktorom nasleduje inicializácia privilégií po inicializácii kontajnera.
O spoločnosti Bubblewrap
Bubblewrap je umiestnený ako obmedzená implementácia suida z podmnožiny funkcií menného priestoru používateľa, aby ste vylúčili všetky identifikácie používateľov a procesov z prostredia okrem aktuálneho, použite režimy CLONE_NEWUSER a CLONE_NEWPID.
Pre ďalšiu ochranu programy spustené v Bubblewrapu sa spúšťajú v režime PR_SET_NO_NEW_PRIVS, ktorý zakazuje nové privilégiá, napríklad s príznakom setuid.
Izolácia na úrovni súborového systému sa vykonáva vytvorením predvoleného nového menného priestoru pre mount, v ktorom sa pomocou tmpfs vytvorí prázdny koreňový oddiel.
V prípade potreby sú k tejto časti pripojené externé časti FS v «pripojiť –viazať»(Napríklad od možnosti«bwrap –ro-bind / usr / usr', Sekcia / usr je preposielaná z hostiteľa v režime iba na čítanie).
Schopnosti siete sú obmedzené na prístup k spätnému rozhraniu invertovaná s izoláciou sieťového zásobníka pomocou indikátorov CLONE_NEWNET a CLONE_NEWUTS.
Kľúčový rozdiel oproti podobnému projektu Firejail, ktorý tiež používa spúšťač setuidov, je ten v Bubblewrap, vrstva kontajnera obsahuje iba minimálne nevyhnutné vlastnosti a všetky pokročilé funkcie potrebné na spustenie grafických aplikácií, interakciu s pracovnou plochou a filtrovanie hovorov na Pulseaudio sú uvedené spolu s Flatpak a prebiehajú po obnovení práv.
Hlavné novinky Bubblewrap 0.6
V tejto novej verzii Bubblewrap 0.6, ktorá je prezentovaná, je zdôraznené, že pridaná podpora pre zostavovací systém Meson, pričom podpora pre kompiláciu s Autotools sa zachovalo pre teraz, ale zámerom je toto bude odstránený v prospech používania Meson v budúcom vydaní.
Ďalšou novinkou v tejto novej verzii Bubblewrap 0.6 je implementácia opcie „–add-seccomp“ na pridanie viac ako jedného programu seccomp, tiež pridané varovanie, že ak sa znova zadá možnosť „–seccomp“, použije sa iba posledná možnosť.
Poznamenáva sa tiež, že čiastočná podpora špecifikácie REUSE, ktorý zjednocuje proces špecifikácie informácií o licencii a autorských právach.
Okrem toho boli pridané aj hlavičky SPDX-License-Identifier k mnohým súborom kódu. Dodržiavanie pokynov REUSE zjednodušuje automatické určenie, ktorá licencia sa vzťahuje na ktoré časti kódu vašej aplikácie.
Na druhej strane pridané argument protihodnota kontrola z príkazového riadku (argc) a implementoval núdzový východ, ak je počítadlo nulové. Zmena pUmožňuje blokovať bezpečnostné problémy spôsobené nesprávnym spracovaním odovzdaných argumentov príkazového riadka, ako napríklad CVE-2021-4034 v Polkite
Z ďalších zmien ktoré vyčnievajú z tejto novej verzie:
- Hlavná vetva v úložisku git bola premenovaná na main
- Odstráňte starú integráciu CI
- Použitie bash cez PATH pre lepšiu kompatibilitu s operačnými systémami bez FHS
konečne ak si záujem dozvedieť sa o tom trochu viac o tejto novej verzii, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.