Бубблеврап је алат шта ради организовати рад песковника на Линук-у и бежи на нивоу привилегованих корисничких апликација. У пракси, Бубблеврап користи пројекат Флатпак као средњи слој за изоловање апликација покренутих из софтверских пакета.
За изолацију, Линук користи технологије виртуелизације традиционалних контејнера заснованих на употреби цгроупс, намеспацес, Сеццомп и СЕЛинук. Да би извршио привилеговане операције за конфигурисање контејнера, Бубблеврап се покреће са роот привилегијама (извршном датотеком са суид заставицом), након чега следи ресетовање привилегија након иницијализације контејнера.
Нема потребе да омогућите корисничке просторе имена на систему, омогућавајући вам употребу сопственог скупа ИД-ова у контејнерима, јер по дефаулту не ради на многим дистрибуцијама.
О Бубблеврапу
Бубблеврап је позициониран као ограничена примена суида из подскупа функција корисничког простора имена да из окружења изузмете све ИД-ове корисника и процесе, осим тренутног, користите режиме ЦЛОНЕ_НЕВУСЕР и ЦЛОНЕ_НЕВПИД.
За додатну заштиту, програми који се изводе у Бубблеврапу покрећу се у режиму ПР_СЕТ_НО_НЕВ_ПРИВС, која забрањује нове привилегије, на пример, са заставицом сетуид.
Изолација на нивоу система датотека врши се стварањем новог простора имена монтирања по дефаулту, у којем се помоћу тмпфс креира празна роот партиција.
Ако је потребно, спољни ФС одељци су у прилогу овог одељка у «монтирати –везати»(На пример, почевши од опције«бврап –ро-бинд / уср / уср', Одељак / уср се прослеђује са хоста у режиму само за читање).
Мрежне могућности су ограничене на приступ повратном интерфејсу обрнуто изолацијом мрежног стека преко индикатора ЦЛОНЕ_НЕВНЕТ и ЦЛОНЕ_НЕВУТС.
Кључна разлика са сличним пројектом Фирејаил, која такође користи сетуид покретач, је да је у Бубблеврапу, слој контејнера укључује само минимално потребне карактеристике и све напредне функције потребне за покретање графичких апликација, интеракцију са радном површином и филтрирање позива за Пулсеаудио, пребацују се на страну Флатпак-а и покрећу након ресетовања привилегија.
Фирејаил, с друге стране, комбинује све повезане функције у једну извршну датотеку, усложњавајући ревизију и одржавајући сигурност на одговарајућем нивоу.
Бубблеврап у основи функционише помоћу стварање празног простора имена за монтирање на привременом систему датотека који ће бити уништени након завршетка обраде песковника.
Коришћењем прекидача, корисник може да изгради жељено окружење система датотека у простору имена монтирања монтирањем на везу жељених директорија из система хоста.
Бубблеврап 0.4.0
Тренутно је Бубблеврап у својој верзији 0.4.0 који је недавно објављен. Код пројекта написан је на Ц језику и дистрибуиран под лиценцом ЛГПЛв2 +.
Нова верзија је значајан по примени подршке за придруживање простора имена и процеса постојећих корисника (пид именски простори).
Ознаке "–усернс", "–усернс2" и "–пиднс" додане су за контролу везе простора имена.
Ова функција не ради у сетуид моду и захтева засебан режим који може радити без роот привилегија, али захтева да на систему буду омогућени простори имена корисника (онемогућени по дефаулту на Дебиан-у и РХЕЛ / ЦентОС-у) и не искључује могућност да искористе потенцијално преостале рањивости до ивице ограничења „корисничког простора имена“.
Од нових карактеристика Бубблеврап 0.4, такође се примећује могућност градње са мусл Ц библиотеком уместо глибц-ом, и подршка за чување података о именском простору у статистичкој датотеци у ЈСОН формату.
Бубблеврап код, као и документацију о њему, можете погледати на Гитхуб-у, веза је ова.