новый выпуск инструментария , предназначенного для организации работы изолированных окружений в Linux и функционирующий на уровне приложений непривилегированных пользователей. На практике Bubblewrap используется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и под лицензией LGPLv2+.
د جلا کولو لپاره، دودیز لینکس کانټینر مجازی کولو ټیکنالوژي کارول کیږي، د cgroups، نوم ځای، Seccomp او SELinux کارولو پر بنسټ. د کانټینر تنظیم کولو لپاره د امتیازي عملیاتو ترسره کولو لپاره ، بلبل ریپ د روټ حقونو سره پیل شوی (د سوډ بیرغ سره د اجرا وړ فایل) او بیا د کانټینر له پیل کیدو وروسته امتیازات بیا تنظیموي.
Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces — для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением
Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.
د فایل سیسټم په کچه جلا کول د ډیفالټ په واسطه د نوي ماونټ نوم ځای په رامینځته کولو سره سرته رسیدلی ، په کوم کې چې د tmpfs په کارولو سره د روټ خالي برخه رامینځته کیږي. که اړتیا وي، بهرنۍ FS برخې د دې برخې سره په "ماونټ - باند" حالت کې تړل کیږي (د مثال په توګه، کله چې د "bwrap -ro-bind /usr /usr" اختیار سره پیل شي، د /usr ویش د اصلي سیسټم څخه لیږل کیږي. یوازې د لوستلو حالت کې). د شبکې وړتیاوې د CLONE_NEWNET او CLONE_NEWUTS بیرغونو له لارې د شبکې سټیک انزوا سره لوپ بیک انٹرفیس ته لاسرسي پورې محدود دي.
Ключевым отличием от похожего проекта , который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на .
Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги «—userns», «—userns2» и «—pidns».
Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации
user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность для обода ограничений «user namespaces». Из новых возможностей Bubblewrap 0.4 также отмечается возможность сборки с Си-библиотекой musl вместо glibc и поддержка сохранения информации о пространствах имён в файл со статистикой в формате JSON.
سرچینه: opennet.ru