K dispozícii je vydanie nástrojov na organizáciu práce v izolovaných prostrediach Bubblewrap 0.8, ktoré sa zvyčajne používajú na obmedzenie jednotlivých aplikácií neprivilegovaných používateľov. V praxi Bubblewrap používa projekt Flatpak ako vrstvu na izoláciu aplikácií spúšťaných z balíkov. Kód projektu je napísaný v jazyku C a je distribuovaný pod licenciou LGPLv2+.
Na izoláciu sa používajú tradičné technológie virtualizácie kontajnerov Linuxu, založené na použití cgroups, namespaces, Seccomp a SELinux. Ak chcete vykonať privilegované operácie na konfiguráciu kontajnera, spustí sa Bubblewrap s právami root (spustiteľný súbor s príznakom suid) a po inicializácii kontajnera obnoví privilégiá.
Aktivácia užívateľských menných priestorov v systéme menných priestorov, ktorá vám umožňuje používať vlastnú samostatnú sadu identifikátorov v kontajneroch, nie je potrebná na prevádzku, pretože v mnohých distribúciách štandardne nefunguje (Bubblewrap je umiestnený ako obmedzená suid implementácia podmnožina možností užívateľských menných priestorov - na vylúčenie všetkých identifikátorov užívateľov a procesov z prostredia, okrem aktuálneho, sa používajú režimy CLONE_NEWUSER a CLONE_NEWPID). Pre dodatočnú ochranu sa programy spúšťané pod Bubblewrap spúšťajú v režime PR_SET_NO_NEW_PRIVS, ktorý zakazuje získavanie nových privilégií, napríklad ak je prítomný príznak setuid.
Izolácia na úrovni súborového systému sa dosiahne štandardne vytvorením nového priestoru názvov pripojenia, v ktorom sa pomocou tmpfs vytvorí prázdny koreňový oddiel. V prípade potreby sú externé oddiely FS pripojené k tomuto oddielu v režime „mount —bind“ (napríklad pri spustení s voľbou „bwrap —ro-bind /usr /usr“ sa oddiel /usr prepošle z hlavného systému v režime iba na čítanie). Možnosti siete sú obmedzené na prístup k rozhraniu spätnej slučky s izoláciou sieťového zásobníka prostredníctvom príznakov CLONE_NEWNET a CLONE_NEWUTS.
Kľúčový rozdiel od podobného projektu Firejail, ktorý tiež používa model spúšťania setuid, je v tom, že v Bubblewrap vrstva na vytváranie kontajnerov obsahuje iba nevyhnutné minimálne možnosti a všetky pokročilé funkcie potrebné na spúšťanie grafických aplikácií, interakciu s pracovnou plochou a filtrovanie požiadaviek. na Pulseaudio, prenesené na stranu Flatpak a spustené po resetovaní privilégií. Firejail, na druhej strane, kombinuje všetky súvisiace funkcie do jedného spustiteľného súboru, čo sťažuje audit a udržiavanie zabezpečenia na správnej úrovni.
V novom vydaní:
- Pridaná možnosť „--disable-userns“ na zakázanie vytvárania vlastného vnoreného používateľského menného priestoru v prostredí karantény.
- Pridaná možnosť „--assert-userns-disabled“ na kontrolu, či je pri použití možnosti „--disable-userns“ použitý existujúci priestor ID používateľa.
- Informačný obsah chybových hlásení súvisiacich so zakázaním nastavení CONFIG_SECCOMP a CONFIG_SECCOMP_FILTER v jadre sa zvýšil.
Zdroj: opennet.ru