ný útgáfa af verkfærakistunni , hannað til að skipuleggja vinnu einangraðra umhverfi í Linux og starfa á forritastigi óforréttinda notenda. Í reynd er Bubblewrap notað af Flatpak verkefninu sem lag til að einangra forrit sem eru hleypt af stokkunum úr pökkum. Verkefnakóði er skrifaður í C og leyfi samkvæmt LGPLv2+.
Til einangrunar er hefðbundin Linux gáma virtualization tækni notuð, byggt á notkun cgroups, namespaces, Seccomp og SELinux. Til að framkvæma forréttindaaðgerðir til að stilla ílát er Bubblewrap ræst með rótarréttindum (keyranleg skrá með suid fána) og endurstillir síðan forréttindi eftir að ílátið er frumstillt.
Virkjun notandanafnarýma í nafnrýmiskerfinu, sem gerir þér kleift að nota þitt eigið aðskilda sett af auðkennum í gámum, er ekki krafist fyrir aðgerðina, þar sem það virkar ekki sjálfgefið í mörgum dreifingum (Bubblewrap er staðsett sem takmörkuð suid útfærsla á a undirmengi notandanafnarýma - til að útiloka öll notenda- og vinnsluauðkenni úr umhverfinu, nema núverandi, CLONE_NEWUSER og CLONE_NEWPID stillingarnar eru notaðar). Fyrir frekari vernd, keyranleg undir stjórn
Bubblewrap forrit eru ræst í PR_SET_NO_NEW_PRIVS ham, sem bannar að fá ný réttindi, til dæmis ef setuid fáninn er til staðar.
Einangrun á skráarkerfisstigi er náð með því að búa til nýtt mount namespace sjálfgefið, þar sem tóm rótarsneiðing er búin til með tmpfs. Ef nauðsyn krefur eru ytri FS skipting tengd við þessa skipting í „mount —bind“ ham (til dæmis, þegar ræst er með „bwrap —ro-bind /usr /usr“ valmöguleikanum er /usr skiptingin áframsend frá aðalkerfinu í skrifvarinn ham). Netgeta er takmörkuð við aðgang að bakhliðarviðmóti með netstafla einangrun í gegnum CLONE_NEWNET og CLONE_NEWUTS fánana.
Lykilmunur frá svipuðu verkefni , sem einnig notar setuid ræsingarlíkan, er að í Bubblewrap inniheldur gámasköpunarlagið aðeins nauðsynlega lágmarksmöguleika og allar háþróaðar aðgerðir sem þarf til að keyra grafísk forrit, hafa samskipti við skjáborðið og sía símtöl til Pulseaudio eru útvistuð Flatpak og eru framkvæmdar eftir að forréttindi hafa verið endurstillt. Firejail sameinar aftur á móti allar tengdar aðgerðir í einni keyrsluskrá, sem gerir það erfitt að endurskoða og viðhalda öryggi á .
Nýja útgáfan er áberandi fyrir innleiðingu á stuðningi við að sameina núverandi notendanafnarými og vinnslu pid nafnrými. Til að stjórna tengingu nafnrýma hefur „--userns“, „--userns2“ og „-pidns“ fánum verið bætt við.
Þessi eiginleiki virkar ekki í setuid ham og krefst notkunar á sérstakri stillingu sem getur virkað án þess að fá rótarréttindi, en krefst virkjunar
notendanafnarými á kerfinu (sjálfgefið óvirk á Debian og RHEL/CentOS) og útilokar ekki möguleikann fyrir "notandanafnarými" takmarkana brúnina. Nýir eiginleikar Bubblewrap 0.4 fela einnig í sér möguleikann á að byggja með musl C bókasafninu í stað glibc og stuðning við að vista nafnrýmisupplýsingar í skrá með tölfræði á JSON sniði.
Heimild: opennet.ru