Útgáfa verkfæra til að skipuleggja vinnu einangraðra umhverfis Bubblewrap 0.6 er fáanleg, venjulega notuð til að takmarka einstök forrit óforréttinda notenda. Í reynd er Bubblewrap notað af Flatpak verkefninu sem lag til að einangra forrit sem eru hleypt af stokkunum úr pökkum. Verkefniskóðinn er skrifaður í C og er dreift undir LGPLv2+ leyfinu.
Til einangrunar er hefðbundin Linux gáma virtualization tækni notuð, byggt á notkun cgroups, namespaces, Seccomp og SELinux. Til að framkvæma forréttindaaðgerðir til að stilla ílát er Bubblewrap ræst með rótarréttindum (keyranleg skrá með suid fána) og endurstillir síðan forréttindi eftir að ílátið er frumstillt.
Virkjun notandanafnarýma í nafnrýmiskerfinu, sem gerir þér kleift að nota þitt eigið aðskilda sett af auðkennum í gámum, er ekki krafist fyrir aðgerðina, þar sem það virkar ekki sjálfgefið í mörgum dreifingum (Bubblewrap er staðsett sem takmörkuð suid útfærsla á a undirmengi notandanafnarýma - til að útiloka öll notenda- og vinnsluauðkenni úr umhverfinu, nema núverandi, CLONE_NEWUSER og CLONE_NEWPID stillingarnar eru notaðar). Til viðbótarverndar eru forrit sem keyrð eru undir Bubblewrap ræst í PR_SET_NO_NEW_PRIVS ham, sem bannar öflun nýrra réttinda, til dæmis ef setuid fáninn er til staðar.
Einangrun á skráarkerfisstigi er náð með því að búa til nýtt mount namespace sjálfgefið, þar sem tóm rótarsneiðing er búin til með tmpfs. Ef nauðsyn krefur eru ytri FS skipting tengd við þessa skipting í „mount —bind“ ham (til dæmis, þegar ræst er með „bwrap —ro-bind /usr /usr“ valmöguleikanum er /usr skiptingin áframsend frá aðalkerfinu í skrifvarinn ham). Netgeta er takmörkuð við aðgang að bakhliðarviðmóti með netstafla einangrun í gegnum CLONE_NEWNET og CLONE_NEWUTS fánana.
Lykilmunurinn frá svipuðu Firejail verkefni, sem notar einnig setuid ræsingarlíkanið, er að í Bubblewrap inniheldur gámasköpunarlagið aðeins nauðsynlega lágmarksmöguleika og allar háþróaðar aðgerðir sem nauðsynlegar eru til að keyra grafísk forrit, hafa samskipti við skjáborðið og síunarbeiðnir. til Pulseaudio, flutt yfir á Flatpak hliðina og framkvæmd eftir að forréttindi hafa verið endurstillt. Firejail sameinar aftur á móti allar tengdar aðgerðir í einni keyrsluskrá, sem gerir það erfitt að endurskoða og viðhalda öryggi á réttu stigi.
Í nýju útgáfunni:
- Добавлена поддержка сборочной системы Meson. Поддержка сборки при помощи Autotools пока сохранена, но будет удалена в одном из следующих выпусков.
- Реализована опция «—add-seccomp» для добавления более чем одной программы seccomp. Добавлено предупреждение о том, что при повторном указании опции «—seccomp» будет применён только последний параметр.
- Ветка master в git-репозитории переименована в main.
- Добавлена частичная поддержка спецификации REUSE, унифицирующей процесс указания сведений о лицензиях и авторских правах. Во многие файлы с кодом добавлены заголовки SPDX-License-Identifier. Следование рекомендациям REUSE позволяет упростить автоматическое определение какая лицензия применяется к каким из частей кода приложения.
- Добавлена проверка значения счётчика аргументов командной строки (argc) и реализован экстренный выход в случае если счётчик равен нулю. Изменение позволяет блокировать проблемы с безопасностью, вызванные некорректной обработкой передаваемых аргументов командной строки, такие как CVE-2021-4034 в Polkit.
Heimild: opennet.ru