બબલવ્રેપ 0.4.0નું પ્રકાશન, અલગ વાતાવરણ બનાવવા માટેનું સ્તર

ઉપલબ્ધ છે ટૂલકીટનું નવું પ્રકાશન બબલવર્પ 0.4.0, Linux માં અલગ વાતાવરણના કાર્યને વ્યવસ્થિત કરવા માટે રચાયેલ છે અને બિનપ્રાપ્ત વપરાશકર્તાઓના એપ્લિકેશન સ્તર પર કાર્ય કરે છે. વ્યવહારમાં, ફ્લેટપેક પ્રોજેક્ટ દ્વારા પેકેજોમાંથી લોન્ચ કરાયેલી એપ્લિકેશનોને અલગ કરવા માટે એક સ્તર તરીકે બબલરેપનો ઉપયોગ કરવામાં આવે છે. પ્રોજેક્ટ કોડ C અને માં લખાયેલ છે દ્વારા વિતરિત LGPLv2+ હેઠળ લાઇસન્સ.

અલગતા માટે, પરંપરાગત Linux કન્ટેનર વર્ચ્યુઅલાઈઝેશન તકનીકોનો ઉપયોગ કરવામાં આવે છે, જે cgroups, નેમસ્પેસ, Seccomp અને SELinux ના ઉપયોગ પર આધારિત છે. કન્ટેનરને રૂપરેખાંકિત કરવા માટે વિશેષાધિકૃત કામગીરી કરવા માટે, બબલવ્રેપને રૂટ અધિકારો (સ્યુડ ફ્લેગ સાથે એક્ઝિક્યુટેબલ ફાઇલ) સાથે લોન્ચ કરવામાં આવે છે અને પછી કન્ટેનર શરૂ થયા પછી વિશેષાધિકારો ફરીથી સેટ કરે છે.

નેમસ્પેસ સિસ્ટમમાં યુઝર નેમસ્પેસનું સક્રિયકરણ, જે તમને કન્ટેનરમાં તમારા પોતાના ઓળખકર્તાઓના અલગ સેટનો ઉપયોગ કરવાની મંજૂરી આપે છે, તે ઓપરેશન માટે જરૂરી નથી, કારણ કે તે ઘણા વિતરણોમાં ડિફોલ્ટ રૂપે કામ કરતું નથી (બબલવ્રેપ મર્યાદિત સુઇડ અમલીકરણ તરીકે સ્થિત છે. વપરાશકર્તા નેમસ્પેસ ક્ષમતાઓનો સબસેટ - તમામ વપરાશકર્તા અને પ્રક્રિયા ઓળખકર્તાઓને પર્યાવરણમાંથી બાકાત રાખવા માટે, વર્તમાન સિવાય, CLONE_NEWUSER અને CLONE_NEWPID મોડ્સનો ઉપયોગ થાય છે). વધારાના રક્ષણ માટે, નિયંત્રણ હેઠળ એક્ઝિક્યુટેબલ
બબલવ્રેપ પ્રોગ્રામ્સ PR_SET_NO_NEW_PRIVS મોડમાં લૉન્ચ કરવામાં આવે છે, જે નવા વિશેષાધિકારો મેળવવાને પ્રતિબંધિત કરે છે, ઉદાહરણ તરીકે, જો સેટ્યુડ ફ્લેગ હાજર હોય.

ફાઇલ સિસ્ટમ સ્તર પર આઇસોલેશન એ મૂળભૂત રીતે નવી માઉન્ટ નેમસ્પેસ બનાવીને પરિપૂર્ણ થાય છે, જેમાં tmpfs ની મદદથી ખાલી રૂટ પાર્ટીશન બનાવવામાં આવે છે. જો જરૂરી હોય તો, બાહ્ય FS પાર્ટીશનો આ પાર્ટીશન સાથે “mount —bind” મોડમાં જોડાયેલા હોય છે (ઉદાહરણ તરીકે, જ્યારે “bwrap —ro-bind /usr/usr” વિકલ્પ સાથે લોન્ચ કરવામાં આવે છે, ત્યારે /usr પાર્ટીશનને મુખ્ય સિસ્ટમમાંથી ફોરવર્ડ કરવામાં આવે છે. ફક્ત-વાંચવા મોડમાં). નેટવર્ક ક્ષમતાઓ CLONE_NEWNET અને CLONE_NEWUTS ફ્લેગ્સ દ્વારા નેટવર્ક સ્ટેક આઇસોલેશન સાથે લૂપબેક ઇન્ટરફેસની ઍક્સેસ સુધી મર્યાદિત છે.

સમાન પ્રોજેક્ટમાંથી મુખ્ય તફાવત ફાયરજેઇલ, જે સેટ્યુડ લોન્ચ મોડલનો પણ ઉપયોગ કરે છે, તે એ છે કે બબલવ્રેપમાં કન્ટેનર બનાવટ સ્તરમાં માત્ર જરૂરી ન્યૂનતમ ક્ષમતાઓનો સમાવેશ થાય છે, અને ગ્રાફિકલ એપ્લિકેશનો ચલાવવા, ડેસ્કટોપ સાથે ક્રિયાપ્રતિક્રિયા કરવા અને પલ્સૌડિયોને ફિલ્ટર કરવા માટે જરૂરી તમામ અદ્યતન કાર્યો ફ્લેટપેકને આઉટસોર્સ કરવામાં આવે છે અને એક્ઝિક્યુટ કરવામાં આવે છે. વિશેષાધિકારો ફરીથી સેટ કર્યા પછી. બીજી તરફ, ફાયરજેલ એક્ઝિક્યુટેબલ ફાઇલમાં તમામ સંબંધિત કાર્યોને જોડે છે, જે ઓડિટ અને સુરક્ષા જાળવવાનું મુશ્કેલ બનાવે છે. યોગ્ય સ્તરે.

વર્તમાન વપરાશકર્તા નેમસ્પેસીસ અને પ્રોસેસ પીડ નેમસ્પેસીસમાં જોડાવા માટે આધારના અમલીકરણ માટે નવું પ્રકાશન નોંધપાત્ર છે. નેમસ્પેસના જોડાણને નિયંત્રિત કરવા માટે, “--users”, “--users2” અને “-pidns” ફ્લેગ ઉમેરવામાં આવ્યા છે.
આ સુવિધા સેટ્યુડ મોડમાં કામ કરતી નથી અને તેને અલગ મોડનો ઉપયોગ કરવાની જરૂર છે, જે રૂટ અધિકારો મેળવ્યા વિના કામ કરી શકે છે, પરંતુ તેને સક્રિયકરણની જરૂર છે.
સિસ્ટમ પર વપરાશકર્તા નેમસ્પેસ (ડેબિયન અને RHEL/CentOS પર ડિફૉલ્ટ રૂપે અક્ષમ) અને શક્યતાને બાકાત રાખતા નથી શોષણ સંભવિત બાકી નબળાઈઓ "વપરાશકર્તા નેમસ્પેસ" પ્રતિબંધો રિમ માટે. Bubblewrap 0.4 ની નવી વિશેષતાઓમાં glibc ને બદલે musl C લાઇબ્રેરી સાથે બિલ્ડ કરવાની ક્ષમતા અને JSON ફોર્મેટમાં આંકડાવાળી ફાઇલમાં નેમસ્પેસ માહિતી સાચવવા માટે સપોર્ટનો પણ સમાવેશ થાય છે.

સોર્સ: opennet.ru