Pred kratkim razpoložljivost nova različica peskovnika mehurček 0.6, v katerem je bilo narejenih nekaj pomembnih sprememb, kot je vključitev podpore za prevajanje z Mesonom, delna podpora za specifikacijo REUSE in nekaj drugih sprememb.
Za tiste, ki ne poznate Bubblewrap, morate vedeti, da je to a pripomoček, ki se običajno uporablja za omejevanje posameznih aplikacij na neprivilegirane uporabnike. V praksi projekt Flatpak uporablja Bubblewrap kot plast za izolacijo aplikacij, zagnanih iz paketov.
Za izolacijo Linux uporablja tehnologije za virtualizacijo tradicionalnih vsebnikov, ki temeljijo na uporabi skupin c, skupin imen, Seccomp in SELinux. Za izvajanje privilegiranih operacij za konfiguriranje vsebnika se Bubblewrap zažene s korenskimi privilegiji (izvedljivo datoteko s suid zastavico), čemur sledi ponastavitev privilegija po inicializaciji vsebnika.
O Bubblewrapu
Bubblewrap je postavljen kot omejena izvedba suida iz podnabora funkcij imenskega prostora uporabnika, da iz okolja izključite vse uporabniške in procesne ID-je, razen trenutnega, uporabite načine CLONE_NEWUSER in CLONE_NEWPID.
Za dodatno zaščito programi, ki se izvajajo v Bubblewrapu, se zaženejo v načinu PR_SET_NO_NEW_PRIVS, ki prepoveduje nove privilegije, na primer z zastavico setuid.
Izolacija na ravni datotečnega sistema se izvede tako, da se privzeto ustvari nov imenski prostor za priklop, v katerem se s pomočjo tmpfs ustvari prazna korenska particija.
Če je potrebno, so zunanji odseki FS priloženi temu odseku v «mount-bind»(Na primer, začenši z možnostjo«bwrap –ro-bind / usr / usr', Odsek / usr je posredovan od gostitelja v načinu samo za branje).
Zmogljivosti oz omrežja so omejeni na dostop do vmesnika za povratno zanko obrnjeno z izolacijo omrežnega sklada prek indikatorjev CLONE_NEWNET in CLONE_NEWUTS.
Ključna razlika s podobnim projektom Firejail, ki uporablja tudi zaganjalnik setuid, je v Bubblewrapu, plast vsebnika vključuje le minimalno potrebne funkcije in vse napredne funkcije, potrebne za zagon grafičnih aplikacij, interakcijo z namizjem in filtriranje klicev v Pulseaudio, so postavljene na stran Flatpaka in se zaženejo po ponastavitvi pravic.
Glavne novosti Bubblewrap 0.6
V tej novi različici Bubblewrap 0.6, ki je predstavljena, je to poudarjeno dodana podpora za sistem gradnje Meson, pri čemer podpora za prevajanje s Autotools je ohranjeno za zdaj, vendar je mišljeno, da to odstranjena bo v korist uporabe Mesona v prihodnji izdaji.
Druga novost v tej novi različici Bubblewrap 0.6 je izvedba možnosti “–add-seccomp” za dodajanje več kot enega programa seccomp, dodal tudi opozorilo, da če je možnost "--seccomp" ponovno podana, bo uporabljena samo zadnja možnost.
Opozoriti je treba tudi, da je delna podpora za specifikacijo REUSE, ki združuje postopek določanja podatkov o licenci in avtorskih pravicah.
Poleg tega so bile dodane tudi glave SPDX-Identifikator licence za številne datoteke kode. Če sledite smernicam PONOVNE UPORABE, je enostavno samodejno določiti, katera licenca velja za katere dele vaše aplikacijske kode.
Po drugi strani pa dodano preverjanje vrednosti števca argumenta iz ukazne vrstice (argc) in implementirali izhod v sili, če je števec nič. Sprememba strOmogoča blokiranje varnostnih težav posledica nepravilnega ravnanja s posredovanimi argumenti ukazne vrstice, kot je CVE-2021-4034 v Polkitu
Od ostalih sprememb ki izstopajo iz te nove različice:
- Glavna veja v repozitoriju git je bila preimenovana v main
- Odstranite staro integracijo CI
- Uporaba bash prek PATH za boljšo združljivost z operacijskimi sistemi, ki niso FHS
končno če si zanima me kaj več o tem o tej novi različici lahko preverite podrobnosti V naslednji povezavi.