Tá scaoileadh uirlisí chun obair timpeallachtaí iargúlta a eagrú Bubblewrap 0.6 ar fáil, a úsáidtear de ghnáth chun srian a chur ar fheidhmchláir aonair úsáideoirí neamhphribhléideacha. Go praiticiúil, úsáideann an tionscadal Flatpak Bubblewrap mar chiseal chun feidhmchláir a sheoltar ó phacáistí a leithlisiú. Tá cód an tionscadail scríofa in C agus déantar é a dháileadh faoin gceadúnas LGPLv2+.
Ar mhaithe le haonrú, úsáidtear teicneolaíochtaí fíorúlaithe coimeádán Linux traidisiúnta, bunaithe ar úsáid cgroups, ainmspásanna, Seccomp agus SELinux. Chun oibríochtaí faoi phribhléid a dhéanamh chun coimeádán a chumrú, seolfar Bubblewrap le cearta fréimhe (comhad inrite le bratach suide) agus ansin athshocraíonn sé pribhléidí tar éis an coimeádán a thúsú.
Níl gá le spásanna ainmneacha úsáideoirí a ghníomhachtú sa chóras ainmspáis, a cheadaíonn duit do shraith aitheantóirí ar leith féin a úsáid i gcoimeádáin, toisc nach n-oibríonn sé de réir réamhshocraithe i go leor dáiltí (tá Bubblewrap suite mar fhorfheidhmiú suidthe teoranta a fothacar de chumais ainmspásanna úsáideora - chun gach aitheantóir úsáideora agus próiseála a eisiamh ón gcomhshaol, seachas an ceann reatha, úsáidtear na modhanna CLONE_NEWUSER agus CLONE_NEWPID). Ar mhaithe le cosaint bhreise, seoltar cláir a fhorghníomhaítear faoi Bubblewrap sa mhodh PR_SET_NO_NEW_PRIVS, a chuireann cosc ar phribhléidí nua a fháil, mar shampla, má tá an bhratach setuid i láthair.
Déantar leithlisiú ar leibhéal an chórais comhad trí ainmspás mount nua a chruthú de réir réamhshocraithe, ina gcruthaítear deighilt fréimhe folamh ag baint úsáide as tmpfs. Más gá, tá deighiltí seachtracha FS ceangailte leis an deighilt seo sa mhód “mount —bind” (mar shampla, nuair a sheoltar iad leis an rogha “bwrap —ro-bind / usr / usr”, cuirtear an deighilt /usr ar aghaidh ón bpríomhchóras i mód inléite amháin). Tá cumais líonra teoranta do rochtain ar an gcomhéadan loopback le haonrú cruachta líonra trí na bratacha CLONE_NEWNET agus CLONE_NEWUTS.
Is é an príomhdhifríocht ó thionscadal cosúil le Firejail, a úsáideann an tsamhail seolta setuid freisin, ná go n-áirítear i Bubblewrap an ciseal cruthú coimeádán ach na híoschumais riachtanacha, agus na feidhmeanna ar fad is gá chun feidhmchláir ghrafacha a rith, idirghníomhú leis an deasc agus iarratais scagtha. chuig Pulseaudio, aistríodh go dtí an taobh Flatpak agus a fhorghníomhófar tar éis na pribhléidí a athshocrú. Ar an láimh eile, comhcheanglaíonn Firejail na feidhmeanna gaolmhara go léir i gcomhad inrite amháin, rud a fhágann go bhfuil sé deacair slándáil a iniúchadh agus a chothabháil ar an leibhéal cuí.
Sa scaoileadh nua:
- Tacaíocht bhreise do chóras tionóil Meson. Coinníodh an tacaíocht do thógáil le Autotools go fóill, ach bainfear é i scaoileadh amach anseo.
- Cuireadh rogha "--add-seccomp" i bhfeidhm chun níos mó ná clár seccomp amháin a chur leis. Cuireadh rabhadh leis má shonraíonn tú an rogha "--seccomp" arís, ní chuirfear i bhfeidhm ach an paraiméadar deiridh.
- Athainmníodh an príomhbhrainse sa stór git mar phríomhbhrainse.
- Cuireadh tacaíocht pháirteach leis don tsonraíocht REUSE, a aontaíonn an próiseas chun faisnéis faoi cheadúnas agus faoi chóipcheart a shonrú. Tá ceanntásca SPDX-Ceadúnas-Aitheantóir curtha le go leor comhad cóid. Tar éis na dtreoirlínte REUSE is fusa a chinneadh go huathoibríoch cén ceadúnas a bhaineann leis na codanna den chód iarratais.
- Cuireadh leis seiceáil luach an chuntar argóint na n-orduithe (argc) agus chuir sé bealach amach éigeandála i bhfeidhm más é nialas an cuntar. Cuidíonn an t-athrú le bac a chur ar shaincheisteanna slándála de bharr láimhseáil mícheart argóintí na n-orduithe a ritheadh, mar CVE-2021-4034 in Polkit.
Foinse: oscailtenet.ru