Útgáfa verkfæra til að skipuleggja vinnu einangraðra umhverfis Bubblewrap 0.5.0 er fáanleg, venjulega notuð til að takmarka einstök forrit óforréttinda notenda. Í reynd er Bubblewrap notað af Flatpak verkefninu sem lag til að einangra forrit sem eru hleypt af stokkunum úr pökkum. Verkefniskóðinn er skrifaður í C og er dreift undir LGPLv2+ leyfinu.
Til einangrunar er hefðbundin Linux gáma virtualization tækni notuð, byggt á notkun cgroups, namespaces, Seccomp og SELinux. Til að framkvæma forréttindaaðgerðir til að stilla ílát er Bubblewrap ræst með rótarréttindum (keyranleg skrá með suid fána) og endurstillir síðan forréttindi eftir að ílátið er frumstillt.
Virkjun notandanafnarýma í nafnrýmiskerfinu, sem gerir þér kleift að nota þitt eigið aðskilda sett af auðkennum í gámum, er ekki krafist fyrir aðgerðina, þar sem það virkar ekki sjálfgefið í mörgum dreifingum (Bubblewrap er staðsett sem takmörkuð suid útfærsla á a undirmengi notandanafnarýma - til að útiloka öll notenda- og vinnsluauðkenni úr umhverfinu, nema núverandi, CLONE_NEWUSER og CLONE_NEWPID stillingarnar eru notaðar). Til viðbótarverndar eru forrit sem keyrð eru undir Bubblewrap ræst í PR_SET_NO_NEW_PRIVS ham, sem bannar öflun nýrra réttinda, til dæmis ef setuid fáninn er til staðar.
Einangrun á skráarkerfisstigi er náð með því að búa til nýtt mount namespace sjálfgefið, þar sem tóm rótarsneiðing er búin til með tmpfs. Ef nauðsyn krefur eru ytri FS skipting tengd við þessa skipting í „mount —bind“ ham (til dæmis, þegar ræst er með „bwrap —ro-bind /usr /usr“ valmöguleikanum er /usr skiptingin áframsend frá aðalkerfinu í skrifvarinn ham). Netgeta er takmörkuð við aðgang að bakhliðarviðmóti með netstafla einangrun í gegnum CLONE_NEWNET og CLONE_NEWUTS fánana.
Lykilmunurinn frá svipuðu Firejail verkefni, sem notar einnig setuid ræsingarlíkanið, er að í Bubblewrap inniheldur gámasköpunarlagið aðeins nauðsynlega lágmarksmöguleika og allar háþróaðar aðgerðir sem nauðsynlegar eru til að keyra grafísk forrit, hafa samskipti við skjáborðið og síunarbeiðnir. til Pulseaudio, flutt yfir á Flatpak hliðina og framkvæmd eftir að forréttindi hafa verið endurstillt. Firejail sameinar aftur á móti allar tengdar aðgerðir í einni keyrsluskrá, sem gerir það erfitt að endurskoða og viðhalda öryggi á réttu stigi.
Nýja útgáfan býður upp á eftirfarandi valkosti: "--chmod" til að breyta heimildum, "--clearenv" til að hreinsa umhverfisbreytur (nema PWD), og "--perms" til að skilgreina heimildirnar sem notaðar eru þegar aðgerðirnar eru framkvæmdar "--bind -data", "- dir", "--file", "--ro-bind-data" og "--tmpfs". Bætt greining á vandamálum sem koma upp þegar uppsetning mistekst í bindingarham. Bætti við stuðningi við að ljúka skipunum með því að ýta á flipann fyrir zsh.
Heimild: opennet.ru