Izlaista Bubblewrap 0.4.0 — slānis izolētu vidi izveidošanai

Pieejams jauns rīku komplekta laidiens Burbuļplēve 0.4.0, kas izstrādāts, lai organizētu izolētu vidi Linux un darbojas nepievilcīgu lietotāju lietojumprogrammu līmenī. Praksē Flatpak projekts Bubblewrap izmanto kā slāni, lai izolētu no pakotnēm palaistās lietojumprogrammas. Projekta kods ir rakstīts C un izplata licencēts saskaņā ar LGPLv2+.

Izolācijai tiek izmantotas tradicionālās Linux konteineru virtualizācijas tehnoloģijas, kuru pamatā ir cgroups, namespaces, Seccomp un SELinux. Lai veiktu priviliģētas darbības konteinera konfigurēšanai, Bubblewrap tiek palaista ar saknes tiesībām (izpildāms fails ar suid karogu) un pēc tam atiestata privilēģijas pēc konteinera inicializācijas.

Lietotāju nosaukumvietu aktivizēšana nosaukumvietas sistēmā, kas ļauj konteineros izmantot savu atsevišķu identifikatoru kopu, darbībai nav nepieciešama, jo tā pēc noklusējuma nedarbojas daudzos izplatījumos (Bubblewrap tiek pozicionēts kā ierobežota piemērotība lietotāju nosaukumvietu iespēju apakškopa - lai izslēgtu no vides visus lietotāju un procesu identifikatorus, izņemot pašreizējo, tiek izmantoti režīmi CLONE_NEWUSER un CLONE_NEWPID). Papildu aizsardzībai, izpildāma ar kontroli
Bubblewrap programmas tiek palaistas režīmā PR_SET_NO_NEW_PRIVS, kas aizliedz iegūt jaunas privilēģijas, piemēram, ja ir iestatīts karogs setuid.

Izolēšana failu sistēmas līmenī tiek veikta, pēc noklusējuma izveidojot jaunu mount nosaukumvietu, kurā tiek izveidots tukšs saknes nodalījums, izmantojot tmpfs. Ja nepieciešams, šim nodalījumam tiek pievienoti ārējie FS nodalījumi režīmā “mount —bind” (piemēram, palaižot ar opciju “bwrap –ro-bind /usr /usr”, /usr nodalījums tiek pārsūtīts no galvenās sistēmas tikai lasīšanas režīmā). Tīkla iespējas ir ierobežotas, lai piekļūtu atpakaļcilpas saskarnei ar tīkla steka izolāciju, izmantojot karogus CLONE_NEWNET un CLONE_NEWUTS.

Galvenā atšķirība no līdzīga projekta Ugunsdzēsējs, kas izmanto arī setuid palaišanas modeli, ir tas, ka Bubblewrap konteinera izveides slānis ietver tikai nepieciešamās minimālās iespējas, un visas uzlabotās funkcijas, kas nepieciešamas grafisko lietojumprogrammu palaišanai, mijiedarbībai ar darbvirsmu un Pulseaudio zvanu filtrēšanai, ir ārpakalpojuma Flatpak un tiek izpildītas. pēc privilēģiju atiestatīšanas. No otras puses, Firejail apvieno visas saistītās funkcijas vienā izpildāmā failā, kas apgrūtina auditēšanu un drošības uzturēšanu atbilstošā līmenī.

Jaunais laidiens ir ievērojams ar atbalsta ieviešanu esošo lietotāju nosaukumvietu un procesa pid nosaukumvietu pievienošanai. Lai kontrolētu nosaukumvietu savienojumu, ir pievienoti karodziņi “--userns”, “--userns2” un “-pidns”.
Šī funkcija nedarbojas setuid režīmā un prasa izmantot atsevišķu režīmu, kas var darboties, neiegūstot root tiesības, bet ir jāaktivizē
lietotāju vārdu telpas sistēmā (pēc noklusējuma atspējotas Debian un RHEL/CentOS) un neizslēdz iespēju ekspluatācija potenciāli atlikušais ievainojamības "lietotāju nosaukumu telpu" ierobežojumu apmalei. Jaunās Bubblewrap 0.4 funkcijas ietver arī iespēju veidot ar musl C bibliotēku, nevis glibc, un atbalstu nosaukumvietas informācijas saglabāšanai failā ar statistiku JSON formātā.

Avots: opennet.ru