ツールキットの新リリース 孤立した環境の作業を組織化するために設計されています Linux 権限のないユーザーに対してはアプリケーションレベルで動作します。実際には、Bubblewrap は Flatpak プロジェクトでパッケージから起動されるアプリケーションを分離するためのレイヤーとして使用されています。プロジェクトのコードは C 言語で記述されており、 LGPLv2+ライセンスに基づきます。
断熱材には伝統的な材料が使用されています Linux cgroups、namespaces、Seccomp、SE を使用したコンテナ仮想化技術Linux特権的なコンテナ構成操作を実行するために、Bubblewrapはroot権限で実行され(実行可能ファイルにはsuidフラグが有効になっている)、コンテナの初期化が完了すると権限を放棄します。
システム内のユーザー名前空間の有効化は、コンテナが独自の識別子セットを使用できるようにするものですが、多くのディストリビューションではデフォルトで動作しないため、動作に必須ではありません(Bubblewrapは、ユーザー名前空間機能のサブセットの限定的なsuid実装として位置付けられています。現在のユーザーとプロセス識別子を除くすべてのユーザーとプロセス識別子を環境から除外するには、CLONE_NEWUSERとCLONE_NEWPIDモードが使用されます)。追加の保護のために、
Bubblewrap プログラムは PR_SET_NO_NEW_PRIVS モードで実行され、setuid フラグが存在する場合などに新しい権限の取得を禁止します。
ファイル システム レベルでの分離は、デフォルトで新しいマウント名前空間を作成することによって実現されます。この名前空間には、tmpfs を使用して空のルート パーティションが作成されます。 必要に応じて、外部 FS パーティションが「mount —bind」モードでこのパーティションに接続されます (たとえば、「bwrap —ro-bind /usr /usr」オプションを使用して起動すると、/usr パーティションがメイン システムから転送されます)読み取り専用モードで)。 ネットワーク機能は、CLONE_NEWNET および CLONE_NEWUTS フラグを介したネットワーク スタック分離によるループバック インターフェイスへのアクセスに制限されます。
類似プロジェクトとの主な違い 同じくsetuid起動モデルを採用しているBubblewrapの欠点は、コンテナ作成レイヤーには必要最小限のケイパビリティしか含まれておらず、グラフィカルアプリケーションの起動、デスクトップとのやり取り、Pulseaudioリクエストのフィルタリングに必要な高度な機能はすべてFlatpak側に移され、権限がリセットされた後に実行されることです。一方、Firejailは関連するすべての機能を単一の実行ファイルに統合しているため、監査とセキュリティ維持が複雑になります。 .
新リリースでは、既存のユーザー名前空間とPID名前空間のアタッチのサポートが実装されている点が注目に値します。名前空間のアタッチを制御するための「--userns」、「--userns2」、「--pidns」フラグが追加されました。
この機能はsetuidモードでは動作せず、ルート権限を取得せずに動作できる別のモードを使用する必要がありますが、アクティベーションが必要です。
システム内のユーザー名前空間(デフォルトでは無効) Debian および RHEL/CentOS)可能性を排除しない 「ユーザー名前空間」の制限を回避するためです。Bubblewrap 0.4 の新機能には、glibc の代わりに musl C ライブラリを使用してビルドする機能や、名前空間情報を JSON 統計ファイルに保存する機能も含まれています。
出所: オープンネット.ru
