Ir-rilaxx ta 'għodod għall-organizzazzjoni tax-xogħol ta' ambjenti iżolati Bubblewrap 0.6 huwa disponibbli, normalment użat biex jirrestrinġi applikazzjonijiet individwali ta 'utenti mhux privileġġjati. Fil-prattika, Bubblewrap jintuża mill-proġett Flatpak bħala saff biex iżola l-applikazzjonijiet imnedija mill-pakketti. Il-kodiċi tal-proġett huwa miktub b'Ċ u huwa mqassam taħt il-liċenzja LGPLv2+.
Għall-iżolament, jintużaw teknoloġiji ta 'virtwalizzazzjoni tal-kontenituri Linux tradizzjonali, ibbażati fuq l-użu ta' cgroups, namespaces, Seccomp u SELinux. Biex twettaq operazzjonijiet privileġġjati biex jiġi kkonfigurat kontenitur, Bubblewrap jiġi mniedi bi drittijiet tal-għeruq (fajl eżekutibbli b'bandiera suid) u mbagħad jerġa 'jissettja l-privileġġi wara li l-kontenitur jiġi inizjalizzat.
L-attivazzjoni tal-ispazji tal-ismijiet tal-utenti fis-sistema tal-ispazji tal-isem, li tippermettilek tuża s-sett separat ta’ identifikaturi tiegħek f’kontenituri, mhix meħtieġa għall-operat, peress li ma taħdimx awtomatikament f’ħafna distribuzzjonijiet (Bubblewrap huwa pożizzjonat bħala implimentazzjoni suid limitata ta’ sottosett ta' kapaċitajiet ta' spazji tal-isem tal-utent - biex jiġu esklużi l-identifikaturi kollha tal-utent u tal-proċess mill-ambjent, ħlief dak attwali, jintużaw il-modi CLONE_NEWUSER u CLONE_NEWPID). Għal protezzjoni addizzjonali, programmi esegwiti taħt Bubblewrap huma mnedija fil-mod PR_SET_NO_NEW_PRIVS, li jipprojbixxi l-akkwist ta 'privileġġi ġodda, pereżempju, jekk il-bandiera setuid tkun preżenti.
L-iżolament fil-livell tas-sistema tal-fajls jitwettaq billi jinħoloq spazju tal-isem tal-muntaġġ ġdid b'mod awtomatiku, li fih tinħoloq partizzjoni tal-għeruq vojta bl-użu ta 'tmpfs. Jekk meħtieġ, diviżorji esterni FS huma mwaħħla ma’ din il-partizzjoni fil-modalità “mount —bind” (pereżempju, meta titnieda bl-għażla “bwrap —ro-bind /usr /usr”, il-partizzjoni /usr tintbagħat mis-sistema prinċipali fil-modalità ta’ qari biss). Il-kapaċitajiet tan-netwerk huma limitati għall-aċċess għall-interface loopback b'iżolament tal-munzell tan-netwerk permezz tal-bnadar CLONE_NEWNET u CLONE_NEWUTS.
Id-differenza ewlenija mill-proġett simili Firejail, li juża wkoll il-mudell tat-tnedija setuid, hija li f'Bubblewrap is-saff tal-ħolqien tal-kontenitur jinkludi biss il-kapaċitajiet minimi meħtieġa, u l-funzjonijiet avvanzati kollha meħtieġa għat-tħaddim tal-applikazzjonijiet grafiċi, l-interazzjoni mad-desktop u l-iffiltrar tat-talbiet lil Pulseaudio, trasferit għan-naħa Flatpak u eżegwit wara li l-privileġġi jkunu ġew reset. Firejail, min-naħa l-oħra, jgħaqqad il-funzjonijiet kollha relatati f'fajl eżekutibbli wieħed, li jagħmilha diffiċli biex tivverifika u tinżamm is-sigurtà fil-livell xieraq.
Fir-rilaxx il-ġdid:
- Appoġġ miżjud għas-sistema ta 'assemblaġġ Meson. L-appoġġ għall-bini bl-Autotools inżamm għalissa, iżda se jitneħħa f'rilaxx futur.
- Implimentat għażla "--add-seccomp" biex iżżid aktar minn programm seccomp wieħed. Żid twissija li jekk terġa' tispeċifika l-għażla "--seccomp", l-aħħar parametru biss jiġi applikat.
- Il-fergħa prinċipali fir-repożitorju git ingħatat isem ġdid għal main.
- Miżjud appoġġ parzjali għall-ispeċifikazzjoni REUSE, li tgħaqqad il-proċess tal-ispeċifikazzjoni tal-liċenzja u l-informazzjoni dwar id-drittijiet tal-awtur. Ħafna fajls tal-kodiċi għandhom headers SPDX-License-Identifier miżjuda. Is-segwitu tal-linji gwida għall-UŻU mill-ġdid jagħmilha aktar faċli li jiġi ddeterminat awtomatikament liema liċenzja tapplika għal liema partijiet tal-kodiċi tal-applikazzjoni.
- Żid il-verifika tal-valur tal-counter tal-argument tal-linja tal-kmand (argc) u implimentat ħruġ ta 'emerġenza jekk il-counter huwa żero. Il-bidla tgħin biex timblokka kwistjonijiet ta' sigurtà kkawżati minn ġestjoni ħażina ta' argumenti tal-linja tal-kmand mgħoddija, bħal CVE-2021-4034 f'Polkit.
Sors: opennet.ru