nyligen tillgängligheten av den nya versionen av sandboxing bubbelplast 0.6, där några viktiga förändringar har gjorts såsom införandet av stöd för kompilering med Meson, partiellt stöd för REUSE-specifikationen och några andra ändringar.
För dem som inte är medvetna om Bubblewrap, bör du veta att detta är en verktyg som vanligtvis används för att begränsa enskilda applikationer till icke-privilegierade användare. I praktiken använder Flatpak-projektet Bubblewrap som ett lager för att isolera applikationer som lanseras från paket.
För isolering använder Linux virtualiseringstekniker av traditionella behållare baserat på användningen av cgroups, namespaces, Seccomp och SELinux. För att utföra privilegierade åtgärder för att konfigurera en container startas Bubblewrap med root-behörigheter (en körbar fil med en suid-flagga), följt av en återställning av behörighet efter att behållaren har initierats.
Om Bubblewrap
Bubblewrap är positionerat som en begränsad suida-implementering från delmängden av användarnamnsfunktionerna för att utesluta alla användar- och process-ID från miljön utom den nuvarande, använd lägena CLONE_NEWUSER och CLONE_NEWPID.
För ytterligare skydd, program som körs i Bubblewrap startar i läget PR_SET_NO_NEW_PRIVS, som förbjuder nya privilegier, till exempel med setuid-flaggan.
Isolering på filsystemnivå görs genom att som standard skapa ett nytt monteringsnamnutrymme där en tom rotpartition skapas med tmpfs.
Vid behov bifogas de externa FS-sektionerna till detta avsnitt i «montera –bind»(Till exempel med början med alternativet«bwrap –ro-bind / usr / usr', Avsnittet / usr vidarebefordras från värden i skrivskyddat läge).
Förmågan hos nätverk är begränsade till åtkomst till loopback-gränssnittet inverterad med nätverksstackisolering via indikatorer CLONE_NEWNET och CLONE_NEWUTS.
Huvudskillnaden med det liknande Firejail-projektet, som också använder setuid launcher, är det i Bubblewrap, behållarskiktet innehåller endast de minsta nödvändiga funktionerna och alla avancerade funktioner som krävs för att starta grafiska applikationer, interagera med skrivbordet och filtrera samtal till Pulseaudio, kommer till sidan av Flatpak och körs efter att behörigheter har återställts.
De viktigaste nyheterna i Bubblewrap 0.6
I den här nya versionen av Bubblewrap 0.6 som presenteras framhålls det lagt till stöd för byggsystemet Meson, varvid stöd för sammanställning med Autotools har bevarats för nu, men det är meningen att detta den kommer att tas bort till förmån för användning av Meson i en framtida utgåva.
En annan nyhet i den här nya versionen av Bubblewrap 0.6 är implementeringen av alternativet "–add-seccomp" för att lägga till mer än ett seccomp-program, lade också till en varning om att om alternativet "–secomp" anges igen, kommer endast det sista alternativet att tillämpas.
Det noteras också att partiellt stöd för REUSE-specifikationen, som förenar processen för att specificera licens- och upphovsrättsinformation.
Utöver det lades även rubriker till SPDX-License-Identifier till många filer av kod. Att följa REUSE-riktlinjerna gör det enkelt att automatiskt avgöra vilken licens som gäller för vilka delar av din ansökningskod.
Å andra sidan tillade argument counter värde kontroll från kommandoraden (argc) och implementerade en nödutgång om räknaren är noll. Förändringen sidLåter dig blockera säkerhetsproblem orsakad av felaktig hantering av godkända kommandoradsargument, såsom CVE-2021-4034 i Polkit
Av de andra förändringarna som sticker ut från den här nya versionen:
- Huvudgrenen i git-förvaret har bytt namn till main
- Ta bort gammal CI-integration
- Använder bash via PATH för bättre kompatibilitet med icke-FHS operativsystem
äntligen om du är det intresserad av att veta lite mer om det om den här nya versionen kan du kontrollera detaljerna I följande länk.