Ný stöðug grein af Flatpak 1.12 verkfærakistunni hefur verið gefin út, sem veitir kerfi til að byggja upp sjálfstætt pakka sem eru ekki bundnir við sérstakar Linux dreifingar og keyra í sérstökum íláti sem einangrar forritið frá restinni af kerfinu. Stuðningur við að keyra Flatpak pakka er veittur fyrir Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint, Alt Linux og Ubuntu. Flatpak pakkar eru innifalinn í Fedora geymslunni og eru studdir af innfæddum GNOME forritastjóra.
Helstu nýjungar í Flatpak 1.12 útibúinu:
- Bætt stjórnun á hreiðri sandkassaumhverfi sem notað er í flatpak pakkanum með viðskiptavininum fyrir Steam leikjasendingarþjónustuna. Í hreiðrum sandkössum er leyfilegt að búa til aðskilin stigveldi /usr og /app möppurnar, sem eru notuð í Steam til að ræsa leiki í sérstökum íláti með eigin /usr skipting, einangrað frá umhverfinu með Steam biðlaranum.
- Öll pakkatilvik með sama forritaauðkenni (app-ID) deila /tmp og $XDG_RUNTIME_DIR möppunum. Valfrjálst, með því að nota „--allow=per-app-dev-shm“ fánann, geturðu virkjað notkun /dev/shm sameiginlegu möppunnar.
- Bættur stuðningur við Text User Interface (TUI) forrit eins og gdb.
- Hraðari útfærsla á „ostree prune“ skipuninni hefur verið bætt við build-update-repo tólið, fínstillt til að vinna með geymslur í geymsluham.
- Varnarleysi CVE-2021-41133 í innleiðingu gáttarkerfisins, sem tengist skorti á lokun á nýjum kerfissímtölum sem tengjast uppsetningu skiptinga í seccomp reglum, hefur verið lagaður. Varnarleysið gerði forritinu kleift að búa til hreiðraðan sandkassa til að komast framhjá „gáttinni“ sannprófunaraðferðum sem eru notaðar til að skipuleggja aðgang að auðlindum utan ílátsins.
Fyrir vikið gæti árásarmaður, með því að framkvæma uppsetningartengd kerfissímtöl, farið framhjá sandkassaeinangrunarbúnaðinum og fengið fullan aðgang að innihaldi hýsilumhverfisins. Aðeins er hægt að nýta veikleikann í pökkum sem veita forritum beinan aðgang að AF_UNIX innstungum, eins og þeim sem Wayland, Pipewire og pipewire-pulse nota. Í útgáfu 1.12.0 var varnarleysinu ekki eytt að fullu, svo uppfærsla 1.12.1 var gefin út á hælunum.
Við skulum minna þig á að Flatpak gerir forriturum kleift að einfalda dreifingu á forritum sínum sem eru ekki innifalin í stöðluðum dreifingargeymslum með því að útbúa einn alhliða ílát án þess að búa til sérstakar samsetningar fyrir hverja dreifingu. Fyrir öryggismeðvitaða notendur gerir Flatpak þér kleift að keyra vafasamt forrit í gám og veitir aðeins aðgang að netaðgerðum og notendaskrám sem tengjast forritinu. Fyrir notendur sem hafa áhuga á nýjum vörum gerir Flatpak þér kleift að setja upp nýjustu prófunar- og stöðugar útgáfur af forritum án þess að þurfa að gera breytingar á kerfinu. Til dæmis eru Flatpak pakkar smíðaðir fyrir LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 AD, Visual Studio Code, VLC, Slack, Skype, Telegram Desktop, Android Studio o.s.frv.
Til að minnka pakkann inniheldur það aðeins forritssértækar ósjálfstæði, og grunnkerfis- og grafíksöfn (GTK, Qt, GNOME og KDE bókasöfn o.s.frv.) eru hönnuð sem staðlað keyrsluumhverfi í viðbót. Lykilmunurinn á Flatpak og Snap er sá að Snap notar íhluti aðalkerfisumhverfisins og einangrun byggt á síunarkerfissímtölum, á meðan Flatpak býr til gám aðskilinn frá kerfinu og starfar með stórum keyrslutímasettum, sem gefur ekki pakka sem ósjálfstæði, heldur staðlaða. eitt kerfisumhverfi (til dæmis öll bókasöfn sem eru nauðsynleg fyrir rekstur GNOME eða KDE forrita).
Til viðbótar við staðlaða kerfisumhverfið (keyrslutíma), sem er sett upp í gegnum sérstaka geymslu, eru til viðbótar ósjálfstæði (búnt) sem þarf til að reka forritið. Alls mynda keyrslutími og búnt fyllingu gámsins, þrátt fyrir að keyrslutími sé settur upp sérstaklega og bundinn við nokkra gáma í einu, sem gerir þér kleift að forðast að afrita kerfisskrár sem eru sameiginlegar ílátum. Eitt kerfi getur haft nokkra mismunandi keyrslutíma uppsetta (GNOME, KDE) eða nokkrar útgáfur af sama keyrslutíma (GNOME 3.40, GNOME 3.42). Gámur með forriti sem ósjálfstæði notar aðeins bindingu við ákveðinn keyrslutíma, án þess að taka tillit til einstakra pakka sem mynda keyrslutímann. Öllum þáttum sem vantar er pakkað beint með forritinu. Þegar ílát er myndað er keyrsluinnihaldið sett upp sem /usr skiptingin og búnturinn settur upp í /app möppuna.
Runtime og forritagámarnir eru smíðaðir með OSTree tækni, þar sem myndin er frumeindauppfærð úr Git-líkri geymslu, sem gerir kleift að beita útgáfustýringaraðferðum á dreifingarhlutana (td geturðu snúið kerfinu til baka í fyrra ástand). RPM pakkar eru þýddir yfir í OSTree geymsluna með því að nota sérstakt rpm-otree lag. Aðskilin uppsetning og uppfærsla á pakka innan vinnuumhverfisins er ekki studd; kerfið er ekki uppfært á stigi einstakra íhluta, heldur í heild sinni og breytir ástandi þess í frumeindafræðilegu tilliti. Býður upp á verkfæri til að beita uppfærslum í skrefum, sem útilokar þörfina á að skipta algjörlega um myndina við hverja uppfærslu.
Einangraða umhverfið sem myndast er algjörlega óháð dreifingunni sem notuð er og hefur, með réttum stillingum pakkans, ekki aðgang að skrám og ferlum notandans eða aðalkerfisins, getur ekki fengið beinan aðgang að búnaðinum, að undanskildum úttakinu í gegnum DRI, og símtöl í net undirkerfi. Úttak grafík og inntaksskipulag er útfært með Wayland samskiptareglum eða með X11 innstunguframsendingu. Samskipti við ytra umhverfi byggjast á DBus skilaboðakerfinu og sérstöku Portals API.
Til einangrunar er Bubblewrap lagið og hefðbundin Linux gáma virtualization tækni notuð, byggt á notkun cgroups, namespaces, Seccomp og SELinux. PulseAudio er notað til að gefa út hljóð. Í þessu tilviki er hægt að slökkva á einangrun, sem er notuð af forriturum margra vinsælla pakka til að fá fullan aðgang að skráarkerfinu og öllum tækjum í kerfinu. Til dæmis eru GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity og VLC með takmarkaða einangrunarham sem gefur fullan aðgang að heimaskránni.
Ef pakkar með aðgang að heimaskránni eru í hættu, þrátt fyrir tilvist „sandkassa“ merkisins í pakkalýsingunni, þarf árásarmaðurinn aðeins að breyta ~/.bashrc skránni til að keyra kóðann sinn. Sérstakt mál er eftirlit með breytingum á pökkum og traust á smiðju pakka, sem oft eru ekki tengdir aðalverkefninu eða dreifingunum.
Heimild: opennet.ru