Ang pagpagawas sa mga himan alang sa pag-organisar sa trabaho sa nahilit nga mga palibot Ang Bubblewrap 0.6 anaa, kasagaran gigamit sa pagpugong sa indibidwal nga mga aplikasyon sa walay pribilehiyo nga mga tiggamit. Sa praktis, ang Bubblewrap gigamit sa proyekto sa Flatpak isip usa ka layer aron ihimulag ang mga aplikasyon nga gilunsad gikan sa mga pakete. Ang code sa proyekto gisulat sa C ug giapod-apod ubos sa lisensya sa LGPLv2+.
Alang sa pag-inusara, ang tradisyonal nga Linux container virtualization nga mga teknolohiya gigamit, base sa paggamit sa cgroups, namespaces, Seccom ug SELinux. Aron mahimo ang mga pribilihiyo nga mga operasyon sa pag-configure sa usa ka sudlanan, ang Bubblewrap gilunsad nga adunay mga katungod sa gamut (usa ka ma-executable nga file nga adunay usa ka bandila sa suid) ug dayon i-reset ang mga pribilehiyo pagkahuman masugdan ang sudlanan.
Ang pagpaaktibo sa mga namespace sa user sa sistema sa namespace, nga nagtugot kanimo sa paggamit sa imong kaugalingon nga separado nga set sa mga identifier sa mga sudlanan, dili kinahanglan alang sa operasyon, tungod kay dili kini molihok nga default sa daghang mga distribusyon (Ang Bubblewrap gipahimutang ingon usa ka limitado nga pagpatuman sa suid sa usa ka subset sa mga kapabilidad sa user namespaces - aron dili iapil ang tanang user ug process identifiers gikan sa environment, gawas sa kasamtangan, ang CLONE_NEWUSER ug CLONE_NEWPID mode ang gigamit). Alang sa dugang nga proteksyon, ang mga programa nga gipatuman ubos sa Bubblewrap gilusad sa PR_SET_NO_NEW_PRIVS mode, nga nagdili sa pagbaton ug bag-ong mga pribilehiyo, pananglitan, kon ang setuid nga bandila anaa.
Ang pag-inusara sa lebel sa sistema sa file nahimo pinaagi sa paghimo og bag-ong mount namespace pinaagi sa default, diin ang usa ka walay sulod nga partition sa ugat gihimo gamit ang tmpfs. Kung gikinahanglan, ang mga eksternal nga partisyon sa FS gilakip niini nga partisyon sa mode nga "mount βbind" (pananglitan, kung gilansad gamit ang kapilian nga "bwrap βro-bind /usr /usr", ang partisyon /usr gipasa gikan sa panguna nga sistema. sa read-only mode). Ang mga kapabilidad sa network limitado sa pag-access sa loopback interface nga adunay network stack isolation pinaagi sa CLONE_NEWNET ug CLONE_NEWUTS nga mga bandera.
Ang yawe nga kalainan gikan sa susama nga proyekto sa Firejail, nga naggamit usab sa setuid nga modelo sa paglansad, mao nga sa Bubblewrap ang sulud sa paghimo sa sulud naglakip lamang sa gikinahanglan nga minimum nga mga kapabilidad, ug ang tanan nga mga advanced nga gimbuhaton nga gikinahanglan alang sa pagpadagan sa mga graphical nga aplikasyon, nga nakig-uban sa desktop ug pagsala sa mga hangyo. sa Pulseaudio, gibalhin sa Flatpak nga bahin ug gipatuman pagkahuman na-reset ang mga pribilehiyo. Ang Firejail, sa laing bahin, naghiusa sa tanan nga may kalabutan nga mga gimbuhaton sa usa ka executable file, nga nagpalisud sa pag-audit ug pagpadayon sa seguridad sa husto nga lebel.
Sa bag-ong pagpagawas:
- Gidugang nga suporta alang sa sistema sa asembliya sa Meson. Ang suporta alang sa pagtukod gamit ang Autotools gipabilin sa pagkakaron, apan tangtangon sa umaabot nga pagpagawas.
- Gipatuman ang "--add-seccomp" nga opsyon aron makadugang ug labaw sa usa ka seccom nga programa. Gidugang ang usa ka pasidaan nga kung imong itakda ang "--seccom" nga kapilian pag-usab, ang katapusan nga parameter ra ang magamit.
- Ang master nga sanga sa git repository giilisan sa ngalan sa main.
- Gidugang ang partial nga suporta alang sa REUSE specification, nga naghiusa sa proseso sa pagtino sa impormasyon sa lisensya ug copyright. Daghang mga file sa code adunay gidugang nga mga ulohan sa SPDX-License-Identifier. Ang pagsunod sa REUSE guidelines makapasayon ββsa awtomatik nga pagtino kon unsang lisensya ang magamit sa unsang mga bahin sa application code.
- Gidugang ang pagsusi sa bili sa command line argument counter (argc) ug gipatuman ang emergency exit kung zero ang counter. Ang pagbag-o makatabang sa pag-block sa mga isyu sa seguridad tungod sa dili husto nga pagdumala sa gipasa nga mga argumento sa command line, sama sa CVE-2021-4034 sa Polkit.
Source: opennet.ru