Dumating ang Bubblewrap 0.6 na may suporta para sa Meson at higit pa

Darkcrizt

4 Minutos

Kamakailan lamang ang pagkakaroon ng ang bagong bersyon ng sandboxing bubble wrap 0.6, kung saan ang ilang mahahalagang pagbabago ay ginawa tulad ng pagsasama ng suporta para sa compilation sa Meson, bahagyang suporta para sa REUSE specification at ilang iba pang mga pagbabago.

Para sa mga hindi nakakaalam ng Bubblewrap, dapat mong malaman na ito ay isang utility na karaniwang ginagamit upang paghigpitan ang mga indibidwal na application sa mga hindi privileged na user. Sa pagsasagawa, ang proyekto ng Flatpak ay gumagamit ng Bubblewrap bilang isang layer upang ihiwalay ang mga application na inilunsad mula sa mga pakete.

Para sa paghihiwalay, gumagamit ang Linux ng mga teknolohiyang virtualization ng mga tradisyunal na lalagyan batay sa paggamit ng mga cgroups, namespaces, Seccomp at SELinux. Upang maisagawa ang mga pribilehiyong pagpapatakbo upang mai-configure ang isang lalagyan, ang Bubblewrap ay nagsimula sa mga pribilehiyo ng ugat (isang maipapatupad na file na may suid na bandila), na sinusundan ng isang pag-reset ng pribilehiyo pagkatapos na ma-initialize ang lalagyan.

Tungkol sa Bubblewrap

Ang Bubblewrap ay nakaposisyon bilang isang limitadong pagpapatupad ng suida mula sa subset ng mga pag-andar ng namespace ng gumagamit upang ibukod ang lahat ng mga gumagamit at iproseso ang mga id mula sa kapaligiran maliban sa kasalukuyang isa, gamitin ang mga mode CLONE_NEWUSER at CLONE_NEWPID.

Para sa karagdagang proteksyon, ang mga programang tumatakbo sa Bubblewrap ay nagsisimula sa mode PR_SET_NO_NEW_PRIVS, na nagbabawal ng mga bagong pribilehiyo, halimbawa, kasama ang setuid flag.

Ang paghihiwalay sa antas ng file system ay ginagawa sa pamamagitan ng paglikha, bilang default, isang bagong mount namespace, kung saan ang isang walang laman na pagkahati ng ugat ay nilikha gamit ang mga tmpfs.

Kung kinakailangan, ang mga panlabas na seksyon ng FS ay nakakabit sa seksyong ito sa «bundok –bind»(Halimbawa, nagsisimula sa pagpipilian«bwrap –ro-bind / usr / usr', Ang seksyon / usr ay ipinapasa mula sa host sa read-only mode).

Ang mga kakayahan ng network ay limitado sa pag-access sa loopback interface baligtarin ng paghihiwalay ng stack ng network sa pamamagitan ng mga tagapagpahiwatig CLONE_NEWNET at CLONE_NEWUTS.

Ang pangunahing pagkakaiba sa katulad na proyekto ng Firejail, na gumagamit din ng setuid launcher, ay iyon sa Bubblewrap, ang layer ng lalagyan ay nagsasama lamang ng minimum na kinakailangang mga tampok at lahat ng mga advanced na pagpapaandar na kinakailangan upang maglunsad ng mga grapikong aplikasyon, makipag-ugnay sa desktop, at i-filter ang mga tawag sa Pulseaudio, ay dadalhin sa gilid ng Flatpak at patakbuhin pagkatapos i-reset ang mga pribilehiyo.

Pangunahing novelties ng Bubblewrap 0.6

Sa bagong bersyon na ito ng Bubblewrap 0.6 na ipinakita, ito ay naka-highlight na nagdagdag ng suporta para sa ang build system Meson, kung saan suporta para sa pag-compile sa Ang mga autotool ay napanatili para sa ngayon, ngunit ito ay inilaan na ito aalisin ito sa pabor sa paggamit ng Meson sa isang release sa hinaharap.

Ang isa pang bagong bagay sa bagong bersyon na ito ng Bubblewrap 0.6 ay ang pagpapatupad ng opsyon “–add-seccom” upang magdagdag ng higit sa isang seccom program, nagdagdag din ng babala na kung muling tinukoy ang opsyong “–seccomp,” ang huling opsyon lang ang ilalapat.

Napansin din na ang bahagyang suporta para sa detalye ng REUSE, na pinag-iisa ang proseso ng pagtukoy ng impormasyon sa lisensya at copyright.

Bukod doon ay idinagdag din ang mga header SPDX-License-Identifier sa maraming file ng code. Ang pagsunod sa REUSE guidelines ay nagpapadali sa awtomatikong pagtukoy kung aling lisensya ang nalalapat sa kung aling mga bahagi ng iyong application code.

Sa kabilang banda, idinagdag argumento counter value check mula sa command line (argc) at nagpatupad ng emergency exit kung zero ang counter. Ang pagbabago pBinibigyang-daan kang harangan ang mga isyu sa seguridad sanhi ng hindi tamang paghawak ng mga naipasa na argumento ng command line, gaya ng CVE-2021-4034 sa Polkit

Sa iba pang mga pagbabago tumayo mula sa bagong bersyon na ito:

  • Ang master branch sa git repository ay pinalitan ng pangalan sa main
  • Alisin ang lumang CI integration
  • Paggamit ng bash sa pamamagitan ng PATH para sa mas mahusay na compatibility sa mga non-FHS operating system

sa wakas kung ikaw nga interesadong malaman ang kaunti pa tungkol dito tungkol sa bagong bersyon na ito, maaari mong suriin ang mga detalye Sa sumusunod na link.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.