Tá scaoileadh uirlisí chun obair timpeallachtaí iargúlta a eagrú Bubblewrap 0.6 ar fáil, a úsáidtear de ghnáth chun srian a chur ar fheidhmchláir aonair úsáideoirí neamhphribhléideacha. Go praiticiúil, úsáideann an tionscadal Flatpak Bubblewrap mar chiseal chun feidhmchláir a sheoltar ó phacáistí a leithlisiú. Tá cód an tionscadail scríofa in C agus déantar é a dháileadh faoin gceadúnas LGPLv2+.
Ar mhaithe le haonrú, úsáidtear teicneolaíochtaí fíorúlaithe coimeádán Linux traidisiúnta, bunaithe ar úsáid cgroups, ainmspásanna, Seccomp agus SELinux. Chun oibríochtaí faoi phribhléid a dhéanamh chun coimeádán a chumrú, seolfar Bubblewrap le cearta fréimhe (comhad inrite le bratach suide) agus ansin athshocraíonn sé pribhléidí tar éis an coimeádán a thúsú.
Níl gá le spásanna ainmneacha úsáideoirí a ghníomhachtú sa chóras ainmspáis, a cheadaíonn duit do shraith aitheantóirí ar leith féin a úsáid i gcoimeádáin, toisc nach n-oibríonn sé de réir réamhshocraithe i go leor dáiltí (tá Bubblewrap suite mar fhorfheidhmiú suidthe teoranta a fothacar de chumais ainmspásanna úsáideora - chun gach aitheantóir úsáideora agus próiseála a eisiamh ón gcomhshaol, seachas an ceann reatha, úsáidtear na modhanna CLONE_NEWUSER agus CLONE_NEWPID). Ar mhaithe le cosaint bhreise, seoltar cláir a fhorghníomhaítear faoi Bubblewrap sa mhodh PR_SET_NO_NEW_PRIVS, a chuireann cosc ar phribhléidí nua a fháil, mar shampla, má tá an bhratach setuid i láthair.
Déantar leithlisiú ar leibhéal an chórais comhad trí ainmspás mount nua a chruthú de réir réamhshocraithe, ina gcruthaítear deighilt fréimhe folamh ag baint úsáide as tmpfs. Más gá, tá deighiltí seachtracha FS ceangailte leis an deighilt seo sa mhód “mount —bind” (mar shampla, nuair a sheoltar iad leis an rogha “bwrap —ro-bind / usr / usr”, cuirtear an deighilt /usr ar aghaidh ón bpríomhchóras i mód inléite amháin). Tá cumais líonra teoranta do rochtain ar an gcomhéadan loopback le haonrú cruachta líonra trí na bratacha CLONE_NEWNET agus CLONE_NEWUTS.
Is é an príomhdhifríocht ó thionscadal cosúil le Firejail, a úsáideann an tsamhail seolta setuid freisin, ná go n-áirítear i Bubblewrap an ciseal cruthú coimeádán ach na híoschumais riachtanacha, agus na feidhmeanna ar fad is gá chun feidhmchláir ghrafacha a rith, idirghníomhú leis an deasc agus iarratais scagtha. chuig Pulseaudio, aistríodh go dtí an taobh Flatpak agus a fhorghníomhófar tar éis na pribhléidí a athshocrú. Ar an láimh eile, comhcheanglaíonn Firejail na feidhmeanna gaolmhara go léir i gcomhad inrite amháin, rud a fhágann go bhfuil sé deacair slándáil a iniúchadh agus a chothabháil ar an leibhéal cuí.
Sa scaoileadh nua:
- Добавлена поддержка сборочной системы Meson. Поддержка сборки при помощи Autotools пока сохранена, но будет удалена в одном из следующих выпусков.
- Реализована опция «—add-seccomp» для добавления более чем одной программы seccomp. Добавлено предупреждение о том, что при повторном указании опции «—seccomp» будет применён только последний параметр.
- Ветка master в git-репозитории переименована в main.
- Добавлена частичная поддержка спецификации REUSE, унифицирующей процесс указания сведений о лицензиях и авторских правах. Во многие файлы с кодом добавлены заголовки SPDX-License-Identifier. Следование рекомендациям REUSE позволяет упростить автоматическое определение какая лицензия применяется к каким из частей кода приложения.
- Добавлена проверка значения счётчика аргументов командной строки (argc) и реализован экстренный выход в случае если счётчик равен нулю. Изменение позволяет блокировать проблемы с безопасностью, вызванные некорректной обработкой передаваемых аргументов командной строки, такие как CVE-2021-4034 в Polkit.
Foinse: oscailtenet.ru