最近 的可用性 新版沙盒 气泡膜 0.6, 其中进行了一些重要的更改,例如包含对使用 Meson 进行编译的支持、对 REUSE 规范的部分支持以及其他一些更改。
对于那些不知道 Bubblewrap 的人,你应该知道这是一个 实用程序通常用于将单个应用程序限制为非特权用户. 在实践中,Flatpak 项目使用 Bubblewrap 作为一个层来隔离从包启动的应用程序。
为了隔离,Linux使用虚拟化技术 基于使用cgroup,名称空间,Seccomp和SELinux的传统容器。 要执行特权操作以配置容器,Bubblewrap将以root特权(带有suid标志的可执行文件)启动,然后在初始化容器后重置特权。
关于Bubblewrap
Bubblewrap被定位为有限的suida实现 从用户名称空间功能的子集中排除当前环境之外的所有用户和进程ID,请使用以下模式 CLONE_NEWUSER和CLONE_NEWPID.
为了提供额外的保护, 在Bubblewrap中运行的程序在以下模式下启动 PR_SET_NO_NEW_PRIVS, 禁止新的特权, 例如,带有setuid标志。
默认情况下,通过创建新的安装名称空间来完成文件系统级别的隔离,在该名称空间中,使用tmpfs创建一个空的根分区。
如有必要,外部FS部分将附加到《挂载–bind»(例如,以选项«开始bwrap –ro-bind / usr / usr',/ usr部分以只读模式从主机转发)。
的能力 网络仅限于访问环回接口 通过指示器与网络堆栈隔离反向 CLONE_NEWNET和CLONE_NEWUTS。
与类似的Firejail项目的主要区别在于, 它也使用setuid启动器,在Bubblewrap中 容器层仅包含最低限度的必要特征 Flatpak附带了启动图形应用程序,与桌面交互以及对Pulseaudio进行过滤调用所需的所有高级功能,并在重置权限后运行。
Bubblewrap 0.6 的主要创新
在展示的这个新版本的 Bubblewrap 0.6 中,强调了 增加了对 构建系统 介子,从而支持编译 Autotools 已保留 现在,但它的目的是 它将被删除,以便在未来的版本中使用 Meson。
这个新版本的 Bubblewrap 0.6 的另一个新颖之处是选项的实现 “--add-seccomp” 添加多个 seccomp 程序, 还添加了一个警告,如果再次指定“--seccomp”选项,则只会应用最后一个选项。
还指出, 部分支持 REUSE 规范,它统一了指定许可和版权信息的过程。
除此之外,还添加了标题 多个文件的 SPDX-License-Identifier 的代码。 遵循 REUSE 指南可以很容易地自动确定哪个许可证适用于应用程序代码的哪些部分。
另一方面,补充 参数计数器值检查 如果计数器为零,则从命令行(argc)执行紧急退出。 变化 p允许您阻止安全问题 由错误处理传递的命令行参数引起,例如 Polkit 中的 CVE-2021-4034
其他变化 从这个新版本中脱颖而出:
- git 仓库中的 master 分支已重命名为 main
- 删除旧的 CI 集成
- 通过 PATH 使用 bash 以更好地兼容非 FHS 操作系统
最后,如果你是 有兴趣了解更多 关于这个新版本,您可以查看详细信息 在下面的链接中。