rilaxx ġdid tal-għodda , iddisinjat biex jorganizza l-ħidma ta 'ambjenti iżolati fil-Linux u li joperaw fil-livell ta' applikazzjoni ta 'utenti mhux privileġġjati. Fil-prattika, Bubblewrap jintuża mill-proġett Flatpak bħala saff biex iżola l-applikazzjonijiet imnedija mill-pakketti. Il-kodiċi tal-proġett huwa miktub f'Ċ u liċenzjat taħt LGPLv2+.
Għall-iżolament, jintużaw teknoloġiji ta 'virtwalizzazzjoni tal-kontenituri Linux tradizzjonali, ibbażati fuq l-użu ta' cgroups, namespaces, Seccomp u SELinux. Biex twettaq operazzjonijiet privileġġjati biex jiġi kkonfigurat kontenitur, Bubblewrap jiġi mniedi bi drittijiet tal-għeruq (fajl eżekutibbli b'bandiera suid) u mbagħad jerġa 'jissettja l-privileġġi wara li l-kontenitur jiġi inizjalizzat.
L-attivazzjoni tal-ispazji tal-ismijiet tal-utenti fis-sistema tal-ispazji tal-isem, li tippermettilek tuża s-sett separat ta’ identifikaturi tiegħek f’kontenituri, mhix meħtieġa għall-operat, peress li ma taħdimx awtomatikament f’ħafna distribuzzjonijiet (Bubblewrap huwa pożizzjonat bħala implimentazzjoni suid limitata ta’ sottosett ta' kapaċitajiet ta' spazji tal-isem tal-utent - biex jiġu esklużi l-identifikaturi kollha tal-utent u tal-proċess mill-ambjent, ħlief dak attwali, jintużaw il-modi CLONE_NEWUSER u CLONE_NEWPID). Għal protezzjoni addizzjonali, eżekutibbli taħt kontroll
Il-programmi Bubblewrap huma mnedija fil-mod PR_SET_NO_NEW_PRIVS, li jipprojbixxi l-ksib ta 'privileġġi ġodda, pereżempju, jekk il-bandiera setuid tkun preżenti.
L-iżolament fil-livell tas-sistema tal-fajls jitwettaq billi jinħoloq spazju tal-isem tal-muntaġġ ġdid b'mod awtomatiku, li fih tinħoloq partizzjoni tal-għeruq vojta bl-użu ta 'tmpfs. Jekk meħtieġ, diviżorji esterni FS huma mwaħħla ma’ din il-partizzjoni fil-modalità “mount —bind” (pereżempju, meta titnieda bl-għażla “bwrap —ro-bind /usr /usr”, il-partizzjoni /usr tintbagħat mis-sistema prinċipali fil-modalità ta’ qari biss). Il-kapaċitajiet tan-netwerk huma limitati għall-aċċess għall-interface loopback b'iżolament tal-munzell tan-netwerk permezz tal-bnadar CLONE_NEWNET u CLONE_NEWUTS.
Differenza ewlenija minn proġett simili , li juża wkoll mudell ta 'tnedija setuid, huwa li f'Bubblewrap is-saff tal-ħolqien tal-kontenitur jinkludi biss il-kapaċitajiet minimi meħtieġa, u l-funzjonijiet avvanzati kollha meħtieġa għat-tħaddim ta' applikazzjonijiet grafiċi, jinteraġixxu mad-desktop u jiffiltraw is-sejħiet lil Pulseaudio huma esternalizzati Flatpak u jiġu eżegwiti wara li l-privileġġi jkunu ġew reset. Firejail, min-naħa l-oħra, jgħaqqad il-funzjonijiet kollha relatati f'fajl eżekutibbli wieħed, li jagħmilha diffiċli biex tivverifika u tinżamm is-sigurtà fuq .
Ir-rilaxx il-ġdid huwa notevoli għall-implimentazzjoni ta 'appoġġ biex tgħaqqad l-ispazji tal-isem tal-utenti eżistenti u l-ispazji tal-isem tal-pid tal-proċess. Biex tikkontrolla l-konnessjoni tal-ispazji tal-isem, ġew miżjuda l-bnadar “--userns”, “--userns2” u “-pidns”.
Din il-karatteristika ma taħdimx fil-mod setuid u teħtieġ l-użu ta 'modalità separata li tista' taħdem mingħajr ma tikseb id-drittijiet tal-għeruq, iżda teħtieġ l-attivazzjoni
spazji tal-ismijiet tal-utenti fis-sistema (diżattivati awtomatikament fuq Debian u RHEL/CentOS) u ma jeskludix il-possibbiltà għar-rimm tar-restrizzjonijiet "ispazji tal-isem tal-utent". Karatteristiċi ġodda ta 'Bubblewrap 0.4 jinkludu wkoll il-ħila li tibni bil-librerija musl C minflok glibc u appoġġ għall-iffrankar ta' informazzjoni dwar l-ispazju tal-isem għal fajl bi statistika fil-format JSON.
Sors: opennet.ru
