The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Bubblewrap 0.5.0, прослойки для создания изолированных окружений

21.08.2021 14:36

Доступен выпуск инструментария для организации работы изолированных окружений Bubblewrap 0.5.0, как правило используемый для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+.

Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Для выполнения привилегированных операций по настройке контейнера Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера.

Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces - для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.

Изоляция на уровне файловой системы производится через создание по умолчанию нового пространства имён точек монтирования (mount namespace), в котором при помощи tmpfs создаётся пустой корневой раздел. В данный раздел при необходимости прикрепляются разделы внешней ФС в режиме "mount --bind" (например, при запуске c опцией "bwrap --ro-bind /usr /usr" раздел /usr пробрасывается из основной системы в режиме только для чтения). Сетевые возможности ограничиваются доступом к loopback-интерфейсу с изоляцией сетевого стека через флаги CLONE_NEWNET и CLONE_NEWUTS.

Ключевым отличием от похожего проекта Firejail, который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на должном уровне.

В новом выпуске предложены опции: "--chmod" для изменения прав доступа, "--clearenv" для очистки переменных окружения (кроме PWD) и "--perms" для определения прав доступа, применяемых при выполнении операций "--bind-data", "--dir", "--file", "--ro-bind-data" и "--tmpfs". Улучшена диагностика проблем, возникающий при сбое монтирования в режиме bind. Для zsh добавлена поддержка автодополнения команд нажатием табуляции.

  1. Главная ссылка к новости (https://github.com/containers/...)
  2. OpenNews: Выпуск Bubblewrap 0.4.0, прослойки для создания изолированных окружений
  3. OpenNews: Выпуск системы изоляции приложений Firejail 0.9.62
  4. OpenNews: Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию
  5. OpenNews: Выпуск Bottlerocket 1.2, дистрибутива на базе изолированных контейнеров
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55667-bubblewrap
Ключевые слова: bubblewrap, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Виктор (??), 14:47, 21/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Думаю в будущем будут многие программы запускаться в своем окружении, это же лучше защита от вирусов
     
     
  • 2.2, Аноним (2), 15:41, 21/08/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Они уже выполняются при желании. Будущее наступило, Виктор.
     
     
  • 3.12, заминированный тапок (ok), 20:26, 22/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    он просто в виндовс живёт, а там всё ещё 90е и местами 00е
     
     
  • 4.13, Аноним (13), 04:56, 23/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    То ли дело всякое юниксоподобное с их благословенными 70ми.
     
     
  • 5.16, Аноним123 (?), 12:07, 23/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Есть любители 80х - с нью-вейвом в сердце и диско-х*етой
     
  • 2.3, Отправлено (?), 15:58, 21/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    qubeos
     
  • 2.6, Led (ok), 18:28, 21/08/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Думаю

    Это тебе только кажется.

     
  • 2.20, Аноним (20), 04:15, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаю в будущем будут многие программы запускаться в своем окружении, это же лучше защита от вирусов

    какая глубость.

     

  • 1.4, eugener (ok), 16:54, 21/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > На практике Bubblewrap применяется проектом Flatpak

    Ещё наутилус через него внешние thumbnailer-ы запускает.

     
     
  • 2.10, Аноним (10), 12:34, 22/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И devhelp - web-процессы.
     
     
  • 3.11, eugener (ok), 12:38, 22/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Во-во, и свежие версии гономовского браузера (бывший Epiphany) тоже web-процессы через него. Потому на очень слабых компах люто тупит при открытии новой вкладки.
     

  • 1.5, Аноним (5), 18:10, 21/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Единственные вирусы сейчас это те которые нагружают видяху с бешенным прогревом.( И не имеет значения сколько раз они там докер в докере.(
     
     
  • 2.8, Аноним (8), 19:56, 21/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Когда видяха нагревается, она включает вентилятор. Когда она нагревается сильнее, она ревёт турбиной. Гпу-малварь не жизнеспособна. Тепловыделение или пониженная производительность и постоянные лаги палят цпу майнеры. То, что ты перечислил, не вирусы.
     

  • 1.7, Аноним (-), 19:38, 21/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А поддержки LandLock всё не было.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру