שחרור של Bubblewrap 0.6, שכבה ליצירת סביבות מבודדות

גרסה של כלים לארגון העבודה של סביבות מבודדות זמינה Bubblewrap 0.6, המשמשת בדרך כלל להגבלת יישומים בודדים של משתמשים חסרי הרשאות. בפועל, Bubblewrap משמש את פרויקט Flatpak כשכבה לבידוד יישומים שהושקו מחבילות. קוד הפרויקט כתוב ב-C ומופץ תחת רישיון LGPLv2+.

לצורך בידוד, נעשה שימוש בטכנולוגיות וירטואליזציה מסורתיות של מיכל לינוקס, המבוססות על שימוש בקבוצות cgroups, מרחבי שמות, Seccomp ו-SELinux. כדי לבצע פעולות מורשות להגדרת קונטיינר, Bubblewrap מופעל עם זכויות שורש (קובץ הפעלה עם דגל suid) ולאחר מכן מאפס את ההרשאות לאחר אתחול המיכל.

הפעלת מרחבי שמות משתמשים במערכת מרחב השמות, המאפשרת לך להשתמש בסט נפרד משלך של מזהים בקונטיינרים, אינה נדרשת לצורך הפעולה, מכיוון שהיא אינה פועלת כברירת מחדל בהפצות רבות (Bubblewrap ממוקם כיישום suid מוגבל של תת-קבוצת יכולות של מרחבי שמות משתמשים - כדי לא לכלול את כל מזהי המשתמשים והתהליכים מהסביבה, מלבד הנוכחית, נעשה שימוש במצבים CLONE_NEWUSER ו-CLONE_NEWPID). להגנה נוספת, תוכניות המופעלות תחת Bubblewrap מופעלות במצב PR_SET_NO_NEW_PRIVS, האוסר על רכישת הרשאות חדשות, למשל, אם קיים דגל setuid.

בידוד ברמת מערכת הקבצים מתבצע על ידי יצירת מרחב שמות טעינה חדש כברירת מחדל, שבו נוצרת מחיצת שורש ריקה באמצעות tmpfs. במידת הצורך, מחיצות FS חיצוניות מחוברות למחיצה זו במצב "mount —bind" (לדוגמה, כאשר מופעלת עם האפשרות "bwrap —ro-bind /usr /usr", מחיצת /usr מועברת מהמערכת הראשית במצב קריאה בלבד). יכולות הרשת מוגבלות לגישה לממשק הלולאה עם בידוד מחסנית רשת באמצעות הדגלים CLONE_NEWNET ו-CLONE_NEWUTS.

ההבדל העיקרי מפרויקט Firejail הדומה, המשתמש גם במודל ההשקה של setuid, הוא שב-Bubblewrap שכבת יצירת המיכלים כוללת רק את היכולות המינימליות הדרושות, ואת כל הפונקציות המתקדמות הנחוצות להפעלת יישומים גרפיים, אינטראקציה עם שולחן העבודה ובקשות סינון. ל-Pulsaudio, הועבר לצד Flatpak ובוצע לאחר איפוס ההרשאות. Firejail, לעומת זאת, משלבת את כל הפונקציות הקשורות בקובץ הפעלה אחד, מה שמקשה על הביקורת ותחזוקת האבטחה ברמה המתאימה.

במהדורה החדשה:

• נוספה תמיכה למערכת ההרכבה של Meson. התמיכה בבנייה עם כלי אוטומטי נשמרה לעת עתה, אך תוסר במהדורה עתידית.
• הטמעה אפשרות "--add-seccomp" כדי להוסיף יותר מתוכנית seccomp אחת. נוספה אזהרה שאם תציין שוב את האפשרות "--seccomp", רק הפרמטר האחרון יוחל.
• הענף הראשי במאגר git שונה ל-main.
• נוספה תמיכה חלקית במפרט REUSE, המאחד את התהליך של ציון מידע על רישיון וזכויות יוצרים. לקובצי קוד רבים נוספו כותרות SPDX-License-Identifier. הקפדה על הנחיות REUSE מקלה על קביעה אוטומטית של איזה רישיון חל על אילו חלקים של קוד האפליקציה.
• נוסף בדיקת הערך של מונה הארגומנטים של שורת הפקודה (argc) ויישם יציאת חירום אם המונה הוא אפס. השינוי עוזר לחסום בעיות אבטחה הנגרמות מטיפול לא נכון בארגומנטים של שורת הפקודה שעברו, כגון CVE-2021-4034 ב-Polkit.

מקור: OpenNet.ru