Пускане на Bubblewrap 0.8, слой за създаване на изолирани среди

Предлага се версия на инструменти за организиране на работата на изолирани среди Bubblewrap 0.8, обикновено използвани за ограничаване на отделни приложения на непривилегировани потребители. На практика Bubblewrap се използва от проекта Flatpak като слой за изолиране на приложения, стартирани от пакети. Кодът на проекта е написан на C и се разпространява под лиценз LGPLv2+.

За изолация се използват традиционни технологии за виртуализация на Linux контейнери, базирани на използването на cgroups, namespaces, Seccomp и SELinux. За извършване на привилегировани операции за конфигуриране на контейнер, Bubblewrap се стартира с права на root (изпълним файл с флаг suid) и след това нулира привилегиите, след като контейнерът се инициализира.

Активирането на потребителски пространства от имена в системата за пространство от имена, което ви позволява да използвате свой собствен отделен набор от идентификатори в контейнери, не е необходимо за работа, тъй като не работи по подразбиране в много дистрибуции (Bubblewrap се позиционира като ограничена suid реализация на подмножество от възможности за потребителски пространства от имена - за изключване на всички идентификатори на потребители и процеси от средата, с изключение на текущия, се използват режимите CLONE_NEWUSER и CLONE_NEWPID). За допълнителна защита програмите, изпълнявани под Bubblewrap, се стартират в режим PR_SET_NO_NEW_PRIVS, който забранява придобиването на нови привилегии, например, ако е наличен флагът setuid.

Изолацията на ниво файлова система се постига чрез създаване на ново пространство от имена на монтиране по подразбиране, в което се създава празен корен дял с помощта на tmpfs. Ако е необходимо, към този дял се прикачват външни FS дялове в режим „mount —bind“ (например, когато се стартира с опцията „bwrap —ro-bind /usr /usr“, дялът /usr се препраща от основната система в режим само за четене). Мрежовите възможности са ограничени до достъп до интерфейса за обратна връзка с изолация на мрежовия стек чрез флаговете CLONE_NEWNET и CLONE_NEWUTS.

Ключовата разлика от подобен Firejail проект, който също използва модела за стартиране на setuid, е, че в Bubblewrap слоят за създаване на контейнер включва само необходимите минимални възможности и всички разширени функции, необходими за стартиране на графични приложения, взаимодействие с работния плот и филтриране на заявки към Pulseaudio, прехвърлен към страната на Flatpak и изпълнен след нулиране на привилегиите. Firejail, от друга страна, комбинира всички свързани функции в един изпълним файл, което затруднява одита и поддържането на сигурността на правилното ниво.

В новата версия:

• Добавена е опцията „--disable-userns“, за да се деактивира създаването на собствено вложено потребителско пространство от имена в средата на пясъчника.
• Добавена е опция „--assert-userns-disabled“, за да се провери дали се използва пространство за съществуващ потребителски идентификатор, когато се използва опцията „--disable-userns“.
• Информационното съдържание на съобщенията за грешки, свързани с деактивирането на настройките CONFIG_SECCOMP и CONFIG_SECCOMP_FILTER в ядрото, е увеличено.

Източник: opennet.ru