🥇 Bubblewrap solve 0.4.0, stratis ambitus separatim creando

available новый выпуск инструментария 0.4.0 bubblewrap, предназначенного для организации работы изолированных окружений в Linux и функционирующий на уровне приложений непривилегированных пользователей. На практике Bubblewrap используется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и per distribui под лицензией LGPLv2+.

Sololatio, traditionalis Linux continens virtualizationis technologias adhibentur, in usu cgroups, spatiis nominalibus, Seccomp et SELinux. Ad operationes privilegiatas ut vas configurandum, Bubblewrap cum iuribus radicibus (lima exsecutabile cum suid vexillo immittitur) ac deinde privilegia reponit post initialem receptam.

Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces — для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением
Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.

Solitudo in ordine tabellae efficitur novum spatium spatii per defaltam creando, in quo partitio vacua radix tmpfs utens creatur. Si opus est, partitiones externae FS huic partitioni in modum "montis -vinciae" coniunctae sunt (exempli gratia, cum optione "bwrap -ro -ro-bing /usr /usr" immissa, partitio /usr a principali systemate transmittitur. in read-tantum modum). Facultates retis limitantur ad accessum ad fasciculum interfaciei retis cum ACERVUS solitudo per vexilla CLONE_NEWNET et CLONE_NEWUTS.

Clavis differentia ex simili firejail, который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на должном уровне.

Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги «—userns», «—userns2» и «—pidns».
Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации
user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность Operating in potentia остающихся vulnerabilities " для обода ограничений «user namespaces». Из новых возможностей Bubblewrap 0.4 также отмечается возможность сборки с Си-библиотекой musl вместо glibc и поддержка сохранения информации о пространствах имён в файл со статистикой в формате JSON.

Source: opennet.ru

Dimittis de Bubblewrap 0.4.0, iacuit ad partum separatim ambitibus

Add a comment Отменить ответ