kohët e fundit disponueshmëria e versioni i ri i sandboxing mbështjellës flluskë 0.6, në të cilin janë bërë disa ndryshime të rëndësishme si përfshirja e mbështetjes për kompilimin me Meson, mbështetje e pjesshme për specifikimin REUSE dhe disa ndryshime të tjera.
Për ata që nuk janë në dijeni të Bubblewrap, duhet të dini se kjo është një mjet i përdorur zakonisht për të kufizuar aplikacionet individuale tek përdoruesit jo të privilegjuar. Në praktikë, projekti Flatpak përdor Bubblewrap si një shtresë për të izoluar aplikacionet e nisura nga paketat.
Për izolim, Linux përdor teknologjitë e virtualizimit të kontejnerëve tradicionalë bazuar në përdorimin e grupeve, hapësirave të emrave, Seccomp dhe SELinux. Për të kryer operacione të privilegjuara për të konfiguruar një kontejner, Bubblewrap fillon me privilegjet root (një skedar i ekzekutueshëm me një flamur suid), i ndjekur nga një rivendosje e privilegjit pasi të jetë iniciuar ena.
Rreth Bubblewrap
Bubblewrap është pozicionuar si një zbatim i kufizuar i suidës nga nëngrupi i funksioneve të hapësirës së emrave të përdoruesit për të përjashtuar të gjithë id-të e përdoruesit dhe të procesit nga mjedisi përveç asaj aktuale, përdorni modalitetet CLONE_NEWUSER dhe CLONE_NEWPID.
Për mbrojtje shtesë, programet që ekzekutohen në Bubblewrap fillojnë në modalitet PR_SET_NO_NEW_PRIVS, që ndalon privilegjet e reja, për shembull, me flamurin setuid.
Izolimi në nivelin e sistemit të skedarëve bëhet duke krijuar, si parazgjedhje, një hapësirë të re për emrin e malit, në të cilën krijohet një ndarje e zbrazët e rrënjës duke përdorur tmpfs.
Nëse është e nevojshme, seksionet e jashtme të FS-së janë bashkangjitur këtij seksioni në «mali - lidh»(Për shembull, duke filluar me opsionin«bwrap –ro-bind / usr / usr', Seksioni / usr përcillet nga hosti në mënyrën vetëm për lexim).
Aftësitë e rrjetet janë të kufizuara në aksesin në ndërfaqen loopback përmbyset me izolimin e pirgut të rrjetit përmes treguesve CLONE_NEWNET dhe CLONE_NEWUTS.
Dallimi kryesor me projektin e ngjashëm Firejail, i cili gjithashtu përdor lëshuesin setuid, është ai në Bubblewrap, shtresa e kontejnerit përfshin vetëm tiparet minimale të nevojshme dhe të gjitha funksionet e përparuara të nevojshme për të nisur aplikacione grafike, për të bashkëvepruar me desktopin dhe për të filtruar thirrjet në Pulseaudio, sillen së bashku me Flatpak dhe ekzekutohen pasi të rivendosen privilegjet.
Risitë kryesore të Bubblewrap 0.6
Në këtë version të ri të Bubblewrap 0.6 që prezantohet, theksohet se mbështetje e shtuar për sistemin e ndërtimit Mesoni, ku mbështetje për përpilimin me Autotools është ruajtur për tani, por synohet që kjo do të hiqet në favor të përdorimit të Meson në një version të ardhshëm.
Një tjetër risi në këtë version të ri të Bubblewrap 0.6 është zbatimi i opsionit “–add-seccomp” për të shtuar më shumë se një program seccomp, shtoi gjithashtu një paralajmërim se nëse opsioni “–seccomp” specifikohet përsëri, do të aplikohet vetëm opsioni i fundit.
Vihet re gjithashtu se mbështetje e pjesshme për specifikimin REUSE, i cili unifikon procesin e specifikimit të informacionit të licencës dhe të drejtës së autorit.
Përveç kësaj u shtuan edhe titujt SPDX-License-Identifier për shumë skedarë të kodit. Ndjekja e udhëzimeve të REUSE e bën të lehtë përcaktimin automatik të licencës për cilat pjesë të kodit të aplikacionit tuaj.
Nga ana tjetër, shtoi kontrolli i kundërvlerës së argumentit nga linja e komandës (argc) dhe zbatohet një dalje emergjente nëse numëruesi është zero. Ndryshimi pJu lejon të bllokoni çështjet e sigurisë shkaktuar nga trajtimi i gabuar i argumenteve të linjës së komandës së kaluar, të tilla si CVE-2021-4034 në Polkit
Nga ndryshimet e tjera që dallohen nga ky version i ri:
- Dega kryesore në depo git është riemërtuar në main
- Hiq integrimin e vjetër CI
- Përdorimi i bash nëpërmjet PATH për përputhshmëri më të mirë me sistemet operative jo-FHS
më në fund nëse jeni të interesuar të dinë pak më shumë për të në lidhje me këtë version të ri, mund të kontrolloni detajet Në lidhjen vijuese.