K dispozícii je vydanie nástrojov na organizáciu práce v izolovaných prostrediach Bubblewrap 0.6, ktoré sa zvyčajne používajú na obmedzenie jednotlivých aplikácií neprivilegovaných používateľov. V praxi Bubblewrap používa projekt Flatpak ako vrstvu na izoláciu aplikácií spúšťaných z balíkov. Kód projektu je napísaný v jazyku C a je distribuovaný pod licenciou LGPLv2+.
Na izoláciu sa používajú tradičné technológie virtualizácie kontajnerov Linuxu, založené na použití cgroups, namespaces, Seccomp a SELinux. Ak chcete vykonať privilegované operácie na konfiguráciu kontajnera, spustí sa Bubblewrap s právami root (spustiteľný súbor s príznakom suid) a po inicializácii kontajnera obnoví privilégiá.
Aktivácia užívateľských menných priestorov v systéme menných priestorov, ktorá vám umožňuje používať vlastnú samostatnú sadu identifikátorov v kontajneroch, nie je potrebná na prevádzku, pretože v mnohých distribúciách štandardne nefunguje (Bubblewrap je umiestnený ako obmedzená suid implementácia podmnožina možností užívateľských menných priestorov - na vylúčenie všetkých identifikátorov užívateľov a procesov z prostredia, okrem aktuálneho, sa používajú režimy CLONE_NEWUSER a CLONE_NEWPID). Pre dodatočnú ochranu sa programy spúšťané pod Bubblewrap spúšťajú v režime PR_SET_NO_NEW_PRIVS, ktorý zakazuje získavanie nových privilégií, napríklad ak je prítomný príznak setuid.
Izolácia na úrovni súborového systému sa dosiahne štandardne vytvorením nového priestoru názvov pripojenia, v ktorom sa pomocou tmpfs vytvorí prázdny koreňový oddiel. V prípade potreby sú externé oddiely FS pripojené k tomuto oddielu v režime „mount —bind“ (napríklad pri spustení s voľbou „bwrap —ro-bind /usr /usr“ sa oddiel /usr prepošle z hlavného systému v režime iba na čítanie). Možnosti siete sú obmedzené na prístup k rozhraniu spätnej slučky s izoláciou sieťového zásobníka prostredníctvom príznakov CLONE_NEWNET a CLONE_NEWUTS.
Kľúčový rozdiel od podobného projektu Firejail, ktorý tiež používa model spúšťania setuid, je v tom, že v Bubblewrap vrstva na vytváranie kontajnerov obsahuje iba nevyhnutné minimálne možnosti a všetky pokročilé funkcie potrebné na spúšťanie grafických aplikácií, interakciu s pracovnou plochou a filtrovanie požiadaviek. na Pulseaudio, prenesené na stranu Flatpak a spustené po resetovaní privilégií. Firejail, na druhej strane, kombinuje všetky súvisiace funkcie do jedného spustiteľného súboru, čo sťažuje audit a udržiavanie zabezpečenia na správnej úrovni.
V novom vydaní:
- Pridaná podpora pre montážny systém Meson. Podpora pre vytváranie pomocou Autotools bola zatiaľ zachovaná, ale v budúcom vydaní bude odstránená.
- Implementovaná možnosť "--add-seccomp" na pridanie viac ako jedného programu seccomp. Pridané upozornenie, že ak znova zadáte možnosť „--seccomp“, použije sa iba posledný parameter.
- Hlavná vetva v úložisku git bola premenovaná na main.
- Pridaná čiastočná podpora pre špecifikáciu REUSE, ktorá zjednocuje proces špecifikácie informácií o licencii a autorských právach. Mnoho kódových súborov má pridané hlavičky SPDX-License-Identifier. Dodržiavanie pokynov REUSE uľahčuje automatické určenie, ktorá licencia sa vzťahuje na ktoré časti kódu aplikácie.
- Pridaná kontrola hodnoty počítadla argumentov príkazového riadku (argc) a implementácia núdzového východu, ak je počítadlo nulové. Táto zmena pomáha blokovať bezpečnostné problémy spôsobené nesprávnym spracovaním odovzdaných argumentov príkazového riadka, ako napríklad CVE-2021-4034 v Polkite.
Zdroj: opennet.ru