Rilis alat kanggo ngatur karya lingkungan terpencil Bubblewrap 0.8 kasedhiya, biasane digunakake kanggo matesi aplikasi individu saka pangguna sing ora duwe hak istimewa. Ing praktik, Bubblewrap digunakake dening proyek Flatpak minangka lapisan kanggo ngisolasi aplikasi sing diluncurake saka paket. Kode proyek ditulis ing C lan disebarake miturut lisensi LGPLv2+.
Kanggo isolasi, teknologi virtualisasi wadah Linux tradisional digunakake, adhedhasar panggunaan cgroups, namespaces, Seccomp lan SELinux. Kanggo nindakake operasi ndarbeni hak istimewa kanggo ngatur wadhah, Bubblewrap dibukak karo hak ROOT (file eksekusi karo gendΓ©ra suid) lan banjur ngreset hak istimewa sawise wadhah diwiwiti.
Aktivasi ruang jeneng pangguna ing sistem ruang jeneng, sing ngidini sampeyan nggunakake set pengenal dhewe ing wadhah, ora dibutuhake kanggo operasi, amarga ora bisa digunakake kanthi standar ing akeh distribusi (Bubblewrap dipanggonke minangka implementasi suid winates saka a subset saka kapabilitas spasi jeneng pangguna - kanggo ngilangi kabeh pengenal pangguna lan proses saka lingkungan, kajaba sing saiki, mode CLONE_NEWUSER lan CLONE_NEWPID digunakake). Kanggo pangayoman tambahan, program sing dieksekusi ing Bubblewrap diluncurake ing mode PR_SET_NO_NEW_PRIVS, sing nglarang akuisisi hak istimewa anyar, contone, yen ana gendera setuid.
Isolasi ing tingkat sistem file ditindakake kanthi nggawe papan jeneng gunung anyar kanthi standar, ing ngendi partisi root kosong digawe nggunakake tmpfs. Yen perlu, partisi FS eksternal dipasang ing partisi iki ing mode "mount -bind" (contone, nalika diluncurake kanthi pilihan "bwrap -ro-bind /usr /usr", partisi /usr diterusake saka sistem utama. ing mode mung diwaca). Kapabilitas jaringan diwatesi kanggo ngakses antarmuka loopback kanthi isolasi tumpukan jaringan liwat panji CLONE_NEWNET lan CLONE_NEWUTS.
Bentenane utama saka proyek Firejail sing padha, sing uga nggunakake model peluncuran setuid, yaiku ing Bubblewrap lapisan nggawe wadhah mung kalebu kemampuan minimal sing dibutuhake, lan kabeh fungsi lanjut sing dibutuhake kanggo mbukak aplikasi grafis, sesambungan karo desktop lan panjaluk nyaring. kanggo Pulseaudio, ditransfer menyang sisih Flatpak lan kaleksanan sawise hak istimewa wis ngreset. Firejail, ing tangan liyane, nggabungke kabeh fungsi sing gegandhengan ing siji file eksekusi, kang ndadekake angel kanggo audit lan njaga keamanan ing tingkat sing tepat.
Ing release anyar:
- ΠΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΎΠΏΡΠΈΡ Β«βdisable-usernsΒ» ΠΎΡΠΊΠ»ΡΡΠ°ΡΡΠ°Ρ ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Π² sandbox-ΠΎΠΊΡΡΠΆΠ΅Π½ΠΈΠΈ ΡΠ²ΠΎΠ΅Π³ΠΎ Π²Π»ΠΎΠΆΠ΅Π½Π½ΠΎΠ³ΠΎ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²Π° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡΠΎΠ² ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ (user namespace).
- ΠΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΎΠΏΡΠΈΡ Β«βassert-userns-disabledΒ» Π΄Π»Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ, ΡΡΠΎ ΠΏΡΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠΈ ΠΎΠΏΡΠΈΠΈ Β» βdisable-usernsΒ» Π·Π°Π΄Π΅ΠΉΡΡΠ²ΠΎΠ²Π°Π½ΠΎ ΡΡΡΠ΅ΡΡΠ²ΡΡΡΠ΅Π΅ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²ΠΎ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡΠΎΠ² ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ.
- ΠΠΎΠ²ΡΡΠ΅Π½Π° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠ²Π½ΠΎΡΡΡ ΡΠΎΠΎΠ±ΡΠ΅Π½ΠΈΠΉ ΠΎΠ± ΠΎΡΠΈΠ±ΠΊΠ°Ρ , ΡΠ²ΡΠ·Π°Π½Π½ΡΡ Ρ ΠΎΡΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ΠΌ Π² ΡΠ΄ΡΠ΅ Π½Π°ΡΡΡΠΎΠ΅ΠΊ CONFIG_SECCOMP ΠΈ CONFIG_SECCOMP_FILTER.
Source: opennet.ru