Liberasyon Bubblewrap 0.4.0, yon kouch pou kreye anviwònman izole

Disponib новый выпуск инструментария Wrap jarèt 0.4.0, предназначенного для организации работы изолированных окружений в Linux и функционирующий на уровне приложений непривилегированных пользователей. На практике Bubblewrap используется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и distribiye pa под лицензией LGPLv2+.

Pou izòlman, yo itilize teknoloji tradisyonèl Linux kontenè Virtualization, ki baze sou itilizasyon cgroups, namespaces, Seccomp ak SELinux. Pou fè operasyon privilejye pou konfigirasyon yon veso, Bubblewrap lanse ak dwa rasin (yon fichye ègzèkutabl ak yon drapo suid) ak Lè sa a, retabli privilèj apre veso a inisyalize.

Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces — для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением
Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.

Izolasyon nan nivo sistèm fichye akonpli lè yo kreye yon nouvo espas non mòn pa default, kote yo kreye yon patisyon rasin vid lè l sèvi avèk tmpfs. Si sa nesesè, patisyon FS ekstèn yo tache ak patisyon sa a nan mòd "mount —bind" (pa egzanp, lè yo lanse ak opsyon "bwrap -ro-bind /usr /usr", patisyon /usr la voye soti nan sistèm prensipal la. nan mòd lekti sèlman). Kapasite rezo yo limite a aksè nan koòdone loopback la ak izolasyon pile rezo atravè drapo yo CLONE_NEWNET ak CLONE_NEWUTS.

Diferans kle nan yon pwojè menm jan an firejail, который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на должном уровне.

Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги «—userns», «—userns2» и «—pidns».
Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации
user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность eksplwatasyon потенциально остающихся frajilite yo для обода ограничений «user namespaces». Из новых возможностей Bubblewrap 0.4 также отмечается возможность сборки с Си-библиотекой musl вместо glibc и поддержка сохранения информации о пространствах имён в файл со статистикой в формате JSON.

Sous: opennet.ru