Rilis Bubblewrap 0.4.0, lapisan kanggo nggawe lingkungan terisolasi

Kasedhiya новый выпуск инструментария Bubble wrap 0.4.0, предназначенного для организации работы изолированных окружений в Linux и функционирующий на уровне приложений непривилегированных пользователей. На практике Bubblewrap используется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и disebarake dening под лицензией LGPLv2+.

Kanggo isolasi, teknologi virtualisasi wadah Linux tradisional digunakake, adhedhasar panggunaan cgroups, namespaces, Seccomp lan SELinux. Kanggo nindakake operasi ndarbeni hak istimewa kanggo ngatur wadhah, Bubblewrap dibukak karo hak ROOT (file eksekusi karo gendéra suid) lan banjur ngreset hak istimewa sawise wadhah diwiwiti.

Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces — для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением
Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.

Isolasi ing tingkat sistem file ditindakake kanthi nggawe papan jeneng gunung anyar kanthi standar, ing ngendi partisi root kosong digawe nggunakake tmpfs. Yen perlu, partisi FS eksternal dipasang ing partisi iki ing mode "mount -bind" (contone, nalika diluncurake kanthi pilihan "bwrap -ro-bind /usr /usr", partisi /usr diterusake saka sistem utama. ing mode mung diwaca). Kapabilitas jaringan diwatesi kanggo ngakses antarmuka loopback kanthi isolasi tumpukan jaringan liwat panji CLONE_NEWNET lan CLONE_NEWUTS.

Ключевым отличием от похожего проекта penjara geni, который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на tingkat sing tepat.

Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги «—userns», «—userns2» и «—pidns».
Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации
user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность eksploitasi duweni potensi остающихся vulnerabilities для обода ограничений «user namespaces». Из новых возможностей Bubblewrap 0.4 также отмечается возможность сборки с Си-библиотекой musl вместо glibc и поддержка сохранения информации о пространствах имён в файл со статистикой в формате JSON.

Source: opennet.ru