Útgáfa verkfæra til að skipuleggja vinnu einangraðra umhverfis Bubblewrap 0.6 er fáanleg, venjulega notuð til að takmarka einstök forrit óforréttinda notenda. Í reynd er Bubblewrap notað af Flatpak verkefninu sem lag til að einangra forrit sem eru hleypt af stokkunum úr pökkum. Verkefniskóðinn er skrifaður í C og er dreift undir LGPLv2+ leyfinu.
Hefðbundin efni eru notuð til einangrunar Linux Tækni til að virkja gáma byggir á notkun cgroups, nafnrýma, Seccomp og SELinuxTil að framkvæma forréttindastillingar fyrir ílát keyrir Bubblewrap með rótarréttindum (keyrsluskráin hefur suid-flagið virkt) og sleppir síðan réttindum eftir að upphafsstilling ílátsins er lokið.
Virkjun notandanafnarýma í nafnrýmiskerfinu, sem gerir þér kleift að nota þitt eigið aðskilda sett af auðkennum í gámum, er ekki krafist fyrir aðgerðina, þar sem það virkar ekki sjálfgefið í mörgum dreifingum (Bubblewrap er staðsett sem takmörkuð suid útfærsla á a undirmengi notandanafnarýma - til að útiloka öll notenda- og vinnsluauðkenni úr umhverfinu, nema núverandi, CLONE_NEWUSER og CLONE_NEWPID stillingarnar eru notaðar). Til viðbótarverndar eru forrit sem keyrð eru undir Bubblewrap ræst í PR_SET_NO_NEW_PRIVS ham, sem bannar öflun nýrra réttinda, til dæmis ef setuid fáninn er til staðar.
Einangrun á skráarkerfisstigi er náð með því að búa til nýtt mount namespace sjálfgefið, þar sem tóm rótarsneiðing er búin til með tmpfs. Ef nauðsyn krefur eru ytri FS skipting tengd við þessa skipting í „mount —bind“ ham (til dæmis, þegar ræst er með „bwrap —ro-bind /usr /usr“ valmöguleikanum er /usr skiptingin áframsend frá aðalkerfinu í skrifvarinn ham). Netgeta er takmörkuð við aðgang að bakhliðarviðmóti með netstafla einangrun í gegnum CLONE_NEWNET og CLONE_NEWUTS fánana.
Lykilmunurinn frá svipuðu Firejail verkefni, sem notar einnig setuid ræsingarlíkanið, er að í Bubblewrap inniheldur gámasköpunarlagið aðeins nauðsynlega lágmarksmöguleika og allar háþróaðar aðgerðir sem nauðsynlegar eru til að keyra grafísk forrit, hafa samskipti við skjáborðið og síunarbeiðnir. til Pulseaudio, flutt yfir á Flatpak hliðina og framkvæmd eftir að forréttindi hafa verið endurstillt. Firejail sameinar aftur á móti allar tengdar aðgerðir í einni keyrsluskrá, sem gerir það erfitt að endurskoða og viðhalda öryggi á réttu stigi.
Í nýju útgáfunni:
- Bætti við stuðningi við Meson samsetningarkerfið. Stuðningi við byggingu með Autotools hefur verið haldið í bili, en verður fjarlægður í framtíðarútgáfu.
- Innleiddur "--add-seccomp" valmöguleiki til að bæta við fleiri en einu seccomp forriti. Bætt við viðvörun um að ef þú tilgreinir "--seccomp" valkostinn aftur, þá verður aðeins síðasta færibreytan notuð.
- Aðalútibúið í git geymslunni hefur verið breytt í aðal.
- Bætti við hlutastuðningi við REUSE forskriftina, sem sameinar ferlið við að tilgreina leyfis- og höfundarréttarupplýsingar. Margar kóðaskrár hafa SPDX-License-Identifier hausa bætt við. Með því að fylgja REUSE leiðbeiningunum er auðveldara að ákvarða sjálfkrafa hvaða leyfi gildir um hvaða hluta umsóknarkóðans.
- Bætt við að athuga gildi skipanalínunnar teljara (argc) og útfært neyðarútgang ef teljarinn er núll. Breytingin hjálpar til við að loka á öryggisvandamál af völdum rangrar meðhöndlunar á samþykktum skipanalínurökum, svo sem CVE-2021-4034 í Polkit.
Heimild: opennet.ru
