Bubblewrap bir araçtır ne çalışıyor Linux'ta korumalı alan çalışmasını düzenlemek için ve koş ayrıcalıklı olmayan kullanıcı uygulama düzeyinde. Pratikte Bubblewrap, Flatpak projesi tarafından yazılım paketlerinden başlatılan uygulamaları izole etmek için bir ara katman olarak kullanılır.
İzolasyon için Linux, sanallaştırma teknolojilerini kullanır cgroupların, ad alanlarının, Seccomp ve SELinux'un kullanımına dayalı geleneksel konteynerler. Bir konteyneri yapılandırmak üzere ayrıcalıklı işlemler gerçekleştirmek için Bubblewrap, kök ayrıcalıklarıyla (suid bayraklı yürütülebilir bir dosya) başlatılır ve ardından konteyner başlatıldıktan sonra bir ayrıcalık sıfırlanır.
Sistem üzerinde kullanıcı ad alanlarını etkinleştirmeye gerek yoktur, bu da kapsayıcılarda kendi kimlik kümenizi kullanmanıza izin verir, çünkü varsayılan olarak birçok dağıtımda çalışmaz.
Bubblewrap hakkında
Bubblewrap, sınırlı bir suida uygulaması olarak konumlandırılmıştır Kullanıcı ad alanı işlevlerinin alt kümesinden, geçerli olan dışındaki tüm kullanıcı ve işlem kimliklerini ortamdan dışlamak için, CLONE_NEWUSER ve CLONE_NEWPID.
Ek koruma için, Bubblewrap'ta çalışan programlar modda başlar PR_SET_NO_NEW_PRIVS, yeni ayrıcalıkları yasaklayan, örneğin setuid bayrağıyla.
Dosya sistemi düzeyinde izolasyon, varsayılan olarak, tmpfs kullanılarak boş bir kök bölümünün oluşturulduğu yeni bir bağlama ad alanı oluşturularak yapılır.
Gerekirse, dış FS bölümleri bu bölüme «mount -bağlamak»(Örneğin,« seçeneğiyle başlayarakbwrap –ro-bind / usr / usr', / Usr bölümü ana bilgisayardan salt okunur modda iletilir).
Ağ yetenekleri, döngü arayüzü erişimiyle sınırlıdır göstergeler aracılığıyla ağ yığını izolasyonu ile ters çevrildi CLONE_NEWNET ve CLONE_NEWUTS.
Benzer Firejail projesiyle temel fark, aynı zamanda setuid başlatıcısını da kullanan Bubblewrap'ta kap katmanı yalnızca gerekli minimum özellikleri içerir ve grafik uygulamaları başlatmak, masaüstüyle etkileşim kurmak ve Pulseaudio'ya çağrıları filtrelemek için gereken tüm gelişmiş işlevler, Flatpak'ın yanına getirilir ve ayrıcalıklar sıfırlandıktan sonra çalıştırılır.
Firejail ise ilgili tüm işlevleri tek bir yürütülebilir dosyada birleştirir., denetiminizi zorlaştırır ve güvenliği uygun seviyede tutar.
Bubblewrap temelde çalışır vasıtasıyla geçici bir dosya sisteminde boş bir bağlama ad alanı oluşturma korumalı alan işleme tamamlandıktan sonra yok edilecek.
Anahtarları kullanarak, kullanıcı istenen dosya sistemi ortamını ana bilgisayar sisteminden bağlantıya istenen dizinleri bağlayarak bağlama ad alanı içinde oluşturabilir.
Balonlu ambalaj 0.4.0
Bubblewrap şu anda 0.4 sürümünde.0 yakın zamanda piyasaya sürüldü. Proje kodu C'de yazılır ve LGPLv2 + lisansı altında dağıtılır.
Yeni versiyon ad alanlarına ve süreçlere katılma desteğinin uygulanması açısından dikkate değerdir mevcut kullanıcılar (pid ad alanları).
Ad alanlarının bağlantısını kontrol etmek için "–kullanıcılar", "–kullanıcı2" ve "–pidns" bayrakları eklenmiştir.
Bu özellik setuid modunda çalışmaz ve kök ayrıcalıkları olmadan çalışabilen ayrı bir mod gerektirir, ancak kullanıcı ad alanlarının sistemde etkinleştirilmesini gerektirir (Debian ve RHEL / CentOS'ta varsayılan olarak devre dışıdır) ve potansiyel olarak yararlanma olasılığını dışlamaz "kullanıcı ad alanları" kısıtlamalarının sınırında kalan güvenlik açıkları.
Bubblewrap 0.4'ün yeni özelliklerinden, glibc yerine musl C kütüphanesi ile inşa etme imkanı da gözlemleniyor, ve ad alanı bilgilerini JSON biçiminde bir istatistik dosyasına kaydetme desteği.
Bubblewrap koduna ve bununla ilgili belgelere Github üzerinden bakılabilir, bağlantı bu.