nouvo lage zouti a , ki fèt pou òganize travay nan anviwònman izole nan Linux epi li fonksyone nan nivo aplikasyon an pou itilizatè ki pa gen privilèj. An pratik, pwojè Flatpak la itilize Bubblewrap kòm yon kouch pou izole aplikasyon ki lanse apati pakè yo. Kòd pwojè a ekri nan C ak lisansye anba LGPLv2+.
Materyèl tradisyonèl yo itilize pou izolasyon Linux teknoloji virtualizasyon kontenè ki baze sou itilizasyon gwoup c, espas non, Seccomp ak SELinuxPou fè operasyon konfigirasyon kontenè privilejye, Bubblewrap fonksyone ak privilèj root (fichye ekzekisyon an gen drapo suid la aktive) epi answit li retire privilèj yo apre inisyalizasyon kontenè a fini.
Aktivasyon espas non itilizatè yo nan sistèm espas non an, ki pèmèt ou sèvi ak pwòp seri idantifyan ou yo nan resipyan, pa obligatwa pou operasyon an, paske li pa travay pa defo nan anpil distribisyon (Bubblewrap pozisyone kòm yon aplikasyon limite suid nan yon sou-ansanm kapasite espas non itilizatè yo - pou eskli tout idantifyan itilizatè ak pwosesis nan anviwònman an, eksepte yon sèl aktyèl la, yo itilize mòd CLONE_NEWUSER ak CLONE_NEWPID). Pou plis pwoteksyon, ègzekutabl anba kontwòl
Pwogram Bubblewrap yo lanse nan mòd PR_SET_NO_NEW_PRIVS, ki entèdi jwenn nouvo privilèj, pou egzanp, si drapo setuid la prezan.
Izolasyon nan nivo sistèm fichye akonpli lè yo kreye yon nouvo espas non mòn pa default, kote yo kreye yon patisyon rasin vid lè l sèvi avèk tmpfs. Si sa nesesè, patisyon FS ekstèn yo tache ak patisyon sa a nan mòd "mount —bind" (pa egzanp, lè yo lanse ak opsyon "bwrap -ro-bind /usr /usr", patisyon /usr la voye soti nan sistèm prensipal la. nan mòd lekti sèlman). Kapasite rezo yo limite a aksè nan koòdone loopback la ak izolasyon pile rezo atravè drapo yo CLONE_NEWNET ak CLONE_NEWUTS.
Diferans kle nan yon pwojè menm jan an , ki itilize tou yon modèl lansman setuid, se ke nan Bubblewrap kouch kreyasyon veso a gen ladan sèlman kapasite minimòm ki nesesè yo, ak tout fonksyon avanse ki nesesè pou kouri aplikasyon grafik, kominike avèk Desktop la ak filtraj apèl nan Pulseaudio yo tretans Flatpak epi yo egzekite. apre privilèj yo te reset. Firejail, nan lòt men an, konbine tout fonksyon ki gen rapò yo nan yon sèl dosye ègzèkutabl, ki fè li difisil pou odit ak kenbe sekirite sou .
Nouvo lage a remakab pou aplikasyon sipò pou rantre nan espas non itilizatè ki deja egziste ak espas non pid pwosesis. Pou kontwole koneksyon an nan espas non yo, yo te ajoute drapo "--userns", "--userns2" ak "-pidns".
Karakteristik sa a pa travay nan mòd setuid epi li mande pou itilize yon mòd separe ki ka travay san yo pa jwenn dwa rasin, men li mande deklanchman.
espas non itilizatè nan sistèm nan (dezaktive pa default nan Debian ak RHEL/CentOS) epi li pa eskli posiblite a pou "espas non itilizatè" restriksyon yo. Nouvo karakteristik Bubblewrap 0.4 gen ladan tou kapasite pou konstwi ak bibliyotèk musl C olye pou glibc ak sipò pou konsève enfòmasyon espas non nan yon dosye ak estatistik nan fòma JSON.
Sous: opennet.ru
