Ir-rilaxx ta 'għodod għall-organizzazzjoni tax-xogħol ta' ambjenti iżolati Bubblewrap 0.6 huwa disponibbli, normalment użat biex jirrestrinġi applikazzjonijiet individwali ta 'utenti mhux privileġġjati. Fil-prattika, Bubblewrap jintuża mill-proġett Flatpak bħala saff biex iżola l-applikazzjonijiet imnedija mill-pakketti. Il-kodiċi tal-proġett huwa miktub b'Ċ u huwa mqassam taħt il-liċenzja LGPLv2+.
Għall-iżolament, jintużaw teknoloġiji ta 'virtwalizzazzjoni tal-kontenituri Linux tradizzjonali, ibbażati fuq l-użu ta' cgroups, namespaces, Seccomp u SELinux. Biex twettaq operazzjonijiet privileġġjati biex jiġi kkonfigurat kontenitur, Bubblewrap jiġi mniedi bi drittijiet tal-għeruq (fajl eżekutibbli b'bandiera suid) u mbagħad jerġa 'jissettja l-privileġġi wara li l-kontenitur jiġi inizjalizzat.
L-attivazzjoni tal-ispazji tal-ismijiet tal-utenti fis-sistema tal-ispazji tal-isem, li tippermettilek tuża s-sett separat ta’ identifikaturi tiegħek f’kontenituri, mhix meħtieġa għall-operat, peress li ma taħdimx awtomatikament f’ħafna distribuzzjonijiet (Bubblewrap huwa pożizzjonat bħala implimentazzjoni suid limitata ta’ sottosett ta' kapaċitajiet ta' spazji tal-isem tal-utent - biex jiġu esklużi l-identifikaturi kollha tal-utent u tal-proċess mill-ambjent, ħlief dak attwali, jintużaw il-modi CLONE_NEWUSER u CLONE_NEWPID). Għal protezzjoni addizzjonali, programmi esegwiti taħt Bubblewrap huma mnedija fil-mod PR_SET_NO_NEW_PRIVS, li jipprojbixxi l-akkwist ta 'privileġġi ġodda, pereżempju, jekk il-bandiera setuid tkun preżenti.
L-iżolament fil-livell tas-sistema tal-fajls jitwettaq billi jinħoloq spazju tal-isem tal-muntaġġ ġdid b'mod awtomatiku, li fih tinħoloq partizzjoni tal-għeruq vojta bl-użu ta 'tmpfs. Jekk meħtieġ, diviżorji esterni FS huma mwaħħla ma’ din il-partizzjoni fil-modalità “mount —bind” (pereżempju, meta titnieda bl-għażla “bwrap —ro-bind /usr /usr”, il-partizzjoni /usr tintbagħat mis-sistema prinċipali fil-modalità ta’ qari biss). Il-kapaċitajiet tan-netwerk huma limitati għall-aċċess għall-interface loopback b'iżolament tal-munzell tan-netwerk permezz tal-bnadar CLONE_NEWNET u CLONE_NEWUTS.
Id-differenza ewlenija mill-proġett simili Firejail, li juża wkoll il-mudell tat-tnedija setuid, hija li f'Bubblewrap is-saff tal-ħolqien tal-kontenitur jinkludi biss il-kapaċitajiet minimi meħtieġa, u l-funzjonijiet avvanzati kollha meħtieġa għat-tħaddim tal-applikazzjonijiet grafiċi, l-interazzjoni mad-desktop u l-iffiltrar tat-talbiet lil Pulseaudio, trasferit għan-naħa Flatpak u eżegwit wara li l-privileġġi jkunu ġew reset. Firejail, min-naħa l-oħra, jgħaqqad il-funzjonijiet kollha relatati f'fajl eżekutibbli wieħed, li jagħmilha diffiċli biex tivverifika u tinżamm is-sigurtà fil-livell xieraq.
Fir-rilaxx il-ġdid:
- Добавлена поддержка сборочной системы Meson. Поддержка сборки при помощи Autotools пока сохранена, но будет удалена в одном из следующих выпусков.
- Реализована опция «—add-seccomp» для добавления более чем одной программы seccomp. Добавлено предупреждение о том, что при повторном указании опции «—seccomp» будет применён только последний параметр.
- Ветка master в git-репозитории переименована в main.
- Добавлена частичная поддержка спецификации REUSE, унифицирующей процесс указания сведений о лицензиях и авторских правах. Во многие файлы с кодом добавлены заголовки SPDX-License-Identifier. Следование рекомендациям REUSE позволяет упростить автоматическое определение какая лицензия применяется к каким из частей кода приложения.
- Добавлена проверка значения счётчика аргументов командной строки (argc) и реализован экстренный выход в случае если счётчик равен нулю. Изменение позволяет блокировать проблемы с безопасностью, вызванные некорректной обработкой передаваемых аргументов командной строки, такие как CVE-2021-4034 в Polkit.
Sors: opennet.ru