Останнім часом наявність нова версія пісочниці бульбашкова плівка 0.6, в якому було внесено деякі важливі зміни, такі як включення підтримки компіляції з Meson, часткова підтримка специфікації REUSE та кілька інших змін.
Для тих, хто не знає про Bubblewrap, ви повинні знати, що це a утиліта, яка зазвичай використовується для обмеження окремих програм для непривілейованих користувачів. На практиці проект Flatpak використовує Bubblewrap як шар для ізоляції програм, запущених з пакетів.
Для ізоляції Linux використовує технології віртуалізації традиційних контейнерів на основі використання cgroups, просторів імен, Seccomp та SELinux. Для виконання привілейованих операцій з налаштування контейнера Bubblewrap запускається з правами root (виконуваний файл із прапором suid), після чого після ініціалізації контейнера здійснюється скидання привілеїв.
Про Bubblewrap
Bubblewrap позиціонується як обмежена реалізація suida з підмножини функцій простору імен користувачів, щоб виключити всі ідентифікатори користувачів та процесів із середовища, крім поточної, використовуйте режими CLONE_NEWUSER та CLONE_NEWPID.
Для додаткового захисту, програми, що працюють у Bubblewrap, запускаються в режимі PR_SET_NO_NEW_PRIVS, що забороняє нові привілеї, наприклад, із прапором setuid.
Ізоляція на рівні файлової системи здійснюється шляхом створення за замовчуванням нового простору імен монтування, в якому порожній кореневий розділ створюється за допомогою tmpfs.
За необхідності зовнішні розділи FS додаються до цього розділу в «mount - прив'язати»(Наприклад, починаючи з опції«bwrap –ro-bind / usr / usr', Розділ / usr переадресовується з хосту в режимі лише для читання).
Можливості мережі обмежені доступом до інтерфейсу петлі інвертоване з ізоляцією мережевого стека за допомогою індикаторів CLONE_NEWNET та CLONE_NEWUTS.
Ключова відмінність від подібного проекту Firejail, який також використовує пускову установку setuid, це те, що в Bubblewrap, контейнерний шар включає лише мінімально необхідні функції а всі розширені функції, необхідні для запуску графічних програм, взаємодії з робочим столом та фільтрації викликів до Pulseaudio, переносяться на бік Flatpak і запускаються після скидання привілеїв.
Основні новинки Bubblewrap 0.6
У цій новій версії Bubblewrap 0.6, яка представлена, це підкреслюється додана підтримка для система побудови Meson, завдяки чому підтримується компіляція з Автоінструменти збереглися для зараз, але передбачається, що це його буде видалено на користь використання Meson у майбутньому випуску.
Ще однією новинкою в цій новій версії Bubblewrap 0.6 є реалізація цієї опції «–add-seccomp», щоб додати більше однієї програми seccomp, також додано попередження, що якщо параметр "--seccomp" буде вказано знову, буде застосований лише останній параметр.
Також зазначається, що часткова підтримка специфікації REUSE, який уніфікує процес уточнення інформації про ліцензії та авторські права.
Крім того, були додані заголовки SPDX-License-Identifier для багатьох файлів коду. Дотримання інструкцій REUSE дозволяє легко автоматично визначати, яка ліцензія застосовується до яких частин коду програми.
З іншого боку, додав перевірка значення лічильника аргументу з командного рядка (argc) і реалізував аварійний вихід, якщо лічильник дорівнює нулю. Зміна сДозволяє блокувати проблеми безпеки викликаний неправильною обробкою переданих аргументів командного рядка, наприклад CVE-2021-4034 в Polkit
З інших змін що виділяються з цієї нової версії:
- Головну гілку в репозиторії git було перейменовано на main
- Видаліть стару інтеграцію CI
- Використання bash через PATH для кращої сумісності з операційними системами не FHS
нарешті, якщо ти є цікаво дізнатися про це трохи більше про цю нову версію, ви можете перевірити деталі У наступному посиланні.