Eng Verëffentlechung vun Tools fir d'Aarbecht vun isoléierten Ëmfeld ze organiséieren Bubblewrap 0.6 ass verfügbar, normalerweis benotzt fir individuell Uwendungen vun onprivilegéierte Benotzer ze beschränken. An der Praxis gëtt Bubblewrap vum Flatpak Projet als Schicht benotzt fir Uwendungen ze isoléieren, déi vu Packagen gestart ginn. De Projet Code ass an C geschriwwen a gëtt ënner der LGPLv2+ Lizenz verdeelt.
Fir Isolatioun ginn traditionell Linux Container Virtualiséierungstechnologien benotzt, baséiert op der Benotzung vu cgroups, namespaces, Seccomp an SELinux. Fir privilegiéiert Operatiounen auszeféieren fir e Container ze konfiguréieren, gëtt Bubblewrap mat Root-Rechter gestart (eng ausführbar Datei mat engem suid-Fändel) an setzt dann d'Privilegien zréck nodeems de Container initialiséiert ass.
Aktivéierung vu Benotzernummraim am Nummraumsystem, wat Iech erlaabt Ären eegene getrennten Set vun Identifizéierer a Container ze benotzen, ass net erfuerderlech fir Operatioun, well et funktionnéiert net als Standard a ville Verdeelungen (Bubblewrap ass positionéiert als eng limitéiert Süd-Implementatioun vun engem Ënnerdeelung vun de Benotzernummraumfäegkeeten - fir all Benotzer- a Prozessidentifizéierer aus der Ëmwelt auszeschléissen, ausser déi aktuell, d'CLONE_NEWUSER an CLONE_NEWPID Modi ginn benotzt). Fir zousätzlech Schutz, Programmer, déi ënner Bubblewrap ausgefouert ginn, ginn am PR_SET_NO_NEW_PRIVS Modus lancéiert, deen d'Acquisitioun vun neie Privilegien verbitt, zum Beispill, wann de Setuid Fändel präsent ass.
Isolatioun um Dateisystemniveau gëtt erreecht andeems en neie Mount Nummraum als Standard erstallt gëtt, an deem eng eidel Root Partition mat tmpfs erstallt gëtt. Wann néideg, ginn extern FS-Partitionen un dës Partition am "mount —bind" Modus befestegt (zum Beispill, wann se mat der "bwrap -ro-bind /usr /usr" Optioun lancéiert ginn, gëtt d'/usr Partition vum Haaptsystem weidergeleet. am Liesmodus). Netzwierkfäegkeeten si limitéiert fir Zougang zu der Loopback Interface mat Netzwierkstackisolatioun iwwer d'CLONE_NEWNET an CLONE_NEWUTS Fändelen.
De Schlësselunterscheed vum ähnlechen Firejail-Projet, deen och de Setuid Startmodell benotzt, ass datt am Bubblewrap d'Container-Creatiounsschicht nëmmen déi néideg Mindestfäegkeeten enthält, an all déi fortgeschratt Funktiounen déi néideg sinn fir grafesch Uwendungen ze lafen, mat dem Desktop ze interagéieren an ze filteren Ufroen. op Pulseaudio, op d'Flatpak Säit transferéiert an ausgefouert nodeems d'Privilegien zréckgesat goufen. Firejail, op der anerer Säit, kombinéiert all déi verbonne Funktiounen an enger ausführbarer Datei, wat et schwéier mécht d'Sécherheet op de passenden Niveau ze kontrolléieren an z'erhalen.
An der neier Verëffentlechung:
- Zousätzlech Ënnerstëtzung fir de Meson Assemblée System. Ënnerstëtzung fir ze bauen mat Autotools gouf fir de Moment behalen, awer gëtt an enger zukünfteg Verëffentlechung geläscht.
- Implementéiert "--add-seccomp" Optioun fir méi wéi ee seccomp Programm ze addéieren. Eng Warnung bäigefüügt datt wann Dir d'Optioun "--seccomp" erëm spezifizéiert, nëmmen de leschte Parameter applizéiert gëtt.
- De Masterzweig am Git Repository gouf op Main ëmbenannt.
- Deelweis Ënnerstëtzung fir d'REUSE Spezifizéierung bäigefüügt, déi de Prozess vun der Spezifizéierung vun der Lizenz an der Copyrightinformatioun vereenegt. Vill Codedateien hunn SPDX-License-Identifier Header bäigefüügt. D'REUSE Richtlinnen ze befollegen mécht et méi einfach automatesch ze bestëmmen wéi eng Lizenz fir wéi eng Deeler vum Applikatiounscode gëlt.
- D'Kontroll vum Wäert vum Kommandozeil Argument Konter (argc) bäigefüügt an en Noutausgang implementéiert wann de Konter null ass. D'Ännerung hëlleft Sécherheetsprobleemer ze blockéieren verursaacht duerch falsch Handhabung vu passéierte Kommandozeilargumenter, sou wéi CVE-2021-4034 am Polkit.
Source: opennet.ru