release anyar saka toolkit , dirancang kanggo ngatur karya ing lingkungan sing terisolasi ing Linux lan beroperasi ing tingkat aplikasi kanggo pangguna sing ora duwe hak istimewa. Ing praktik, Bubblewrap digunakake dening proyek Flatpak minangka lapisan kanggo ngisolasi aplikasi sing diluncurake saka paket. Kode proyek kasebut ditulis ing C lan dilisensi ing LGPLv2+.
Bahan-bahan tradisional digunakake kanggo insulasi Linux Teknologi virtualisasi kontainer adhedhasar panggunaan cgroup, namespace, Seccomp lan SELinuxKanggo nindakake operasi konfigurasi kontainer sing duwe hak istimewa, Bubblewrap mlaku nganggo hak istimewa root (file sing bisa dieksekusi duwe flag suid sing diaktifake) banjur ngeculake hak istimewa sawise inisialisasi kontainer rampung.
Aktivasi ruang jeneng pangguna ing sistem ruang jeneng, sing ngidini sampeyan nggunakake set pengenal dhewe ing wadhah, ora dibutuhake kanggo operasi, amarga ora bisa digunakake kanthi standar ing akeh distribusi (Bubblewrap dipanggonke minangka implementasi suid winates saka a subset saka kapabilitas spasi jeneng pangguna - kanggo ngilangi kabeh pengenal pangguna lan proses saka lingkungan, kajaba sing saiki, mode CLONE_NEWUSER lan CLONE_NEWPID digunakake). Kanggo pangayoman tambahan, eksekusi ing kontrol
Program Bubblewrap diluncurake ing mode PR_SET_NO_NEW_PRIVS, sing nglarang entuk hak istimewa anyar, contone, yen ana gendera setuid.
Isolasi ing tingkat sistem file ditindakake kanthi nggawe papan jeneng gunung anyar kanthi standar, ing ngendi partisi root kosong digawe nggunakake tmpfs. Yen perlu, partisi FS eksternal dipasang ing partisi iki ing mode "mount -bind" (contone, nalika diluncurake kanthi pilihan "bwrap -ro-bind /usr /usr", partisi /usr diterusake saka sistem utama. ing mode mung diwaca). Kapabilitas jaringan diwatesi kanggo ngakses antarmuka loopback kanthi isolasi tumpukan jaringan liwat panji CLONE_NEWNET lan CLONE_NEWUTS.
Bentenane utama saka proyek sing padha , sing uga nggunakake model peluncuran setuid, yaiku ing Bubblewrap lapisan nggawe wadhah mung kalebu kapabilitas minimal sing dibutuhake, lan kabeh fungsi lanjut sing dibutuhake kanggo aplikasi grafis, sesambungan karo desktop lan nyaring telpon menyang Pulseaudio sing outsourcing Flatpak lan dieksekusi. sawise hak istimewa wis direset. Firejail, ing tangan liyane, nggabungke kabeh fungsi sing gegandhengan ing siji file eksekusi, kang ndadekake angel kanggo audit lan njaga keamanan ing. .
Rilis anyar kasebut misuwur amarga implementasine dhukungan kanggo gabung karo ruang jeneng pangguna lan ruang jeneng proses pid. Kanggo ngontrol sambungan spasi jeneng, gendera "--userns", "--userns2" lan "-pidns" wis ditambahake.
Fitur iki ora bisa digunakake ing mode setuid lan mbutuhake panggunaan mode kapisah sing bisa digunakake tanpa entuk hak root, nanging mbutuhake aktivasi.
ruang jeneng panganggo ing sistem (dipateni kanthi gawan ing Debian lan RHEL/CentOS) lan ora ngilangi kemungkinan kanggo "userspaces" watesan rim. Fitur anyar Bubblewrap 0.4 uga kalebu kemampuan kanggo mbangun perpustakaan musl C tinimbang glibc lan dhukungan kanggo nyimpen informasi ruang jeneng menyang file kanthi statistik ing format JSON.
Source: opennet.ru
