Kutolewa kwa Bubblewrap 0.4.0, safu ya kuunda mazingira yaliyotengwa

Inapatikana новый выпуск инструментария Mpira wa Bubble 0.4.0, предназначенного для организации работы изолированных окружений в Linux и функционирующий на уровне приложений непривилегированных пользователей. На практике Bubblewrap используется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и kusambazwa na под лицензией LGPLv2+.

Kwa kutengwa, teknolojia za uboreshaji za vyombo vya Linux za jadi hutumiwa, kulingana na matumizi ya vikundi, nafasi za majina, Seccomp na SELinux. Ili kutekeleza shughuli zilizobahatika kusanidi kontena, Bubblewrap inazinduliwa ikiwa na haki za mizizi (faili inayoweza kutekelezeka yenye alama ya suid) na kisha kuweka upya haki baada ya kontena kuanzishwa.

Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces — для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением
Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.

Kutengwa katika kiwango cha mfumo wa faili kunakamilishwa kwa kuunda nafasi mpya ya jina kwa chaguo-msingi, ambapo mgawanyiko wa mizizi tupu huundwa kwa kutumia tmpfs. Ikihitajika, sehemu za nje za FS zimeambatishwa kwenye kizigeu hiki katika hali ya "mount -bind" (kwa mfano, inapozinduliwa na chaguo la "bwrap -ro-bind /usr /usr", kizigeu cha /usr kinatumwa kutoka kwa mfumo mkuu. katika hali ya kusoma tu). Uwezo wa mtandao una mipaka ya kufikia kiolesura cha nyuma kwa kutengwa kwa rafu ya mtandao kupitia CLONE_NEWNET na bendera za CLONE_NEWUTS.

Ключевым отличием от похожего проекта Jela ya moto, который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на должном уровне.

Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги «—userns», «—userns2» и «—pidns».
Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации
user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность Uendeshaji uwezekano остающихся udhaifu для обода ограничений «user namespaces». Из новых возможностей Bubblewrap 0.4 также отмечается возможность сборки с Си-библиотекой musl вместо glibc и поддержка сохранения информации о пространствах имён в файл со статистикой в формате JSON.

Chanzo: opennet.ru