Выпуск Bubblewrap 0.8, прослойки для создания изолированных окружений

28.02.2023 09:16

Доступен выпуск инструментария для организации работы изолированных окружений Bubblewrap 0.8, как правило используемый для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+.

Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Для выполнения привилегированных операций по настройке контейнера Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера.

Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces - для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.

Изоляция на уровне файловой системы производится через создание по умолчанию нового пространства имён точек монтирования (mount namespace), в котором при помощи tmpfs создаётся пустой корневой раздел. В данный раздел при необходимости прикрепляются разделы внешней ФС в режиме "mount --bind" (например, при запуске c опцией "bwrap --ro-bind /usr /usr" раздел /usr пробрасывается из основной системы в режиме только для чтения). Сетевые возможности ограничиваются доступом к loopback-интерфейсу с изоляцией сетевого стека через флаги CLONE_NEWNET и CLONE_NEWUTS.

Ключевым отличием от похожего проекта Firejail, который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на должном уровне.

В новом выпуске:

Добавлена опция "--disable-userns" отключающая создание в sandbox-окружении своего вложенного пространства идентификаторов пользователей (user namespace).
Добавлена опция "--assert-userns-disabled" для проверки, что при использовании опции " --disable-userns" задействовано существующее пространство идентификаторов пользователей.
Повышена информативность сообщений об ошибках, связанных с отключением в ядре настроек CONFIG_SECCOMP и CONFIG_SECCOMP_FILTER.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/58721-bubblewrap

Ключевые слова: bubblewrap, container

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (56)

1.1, Аноним (-), 09:22, 28/02/2023 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
флатпаки и прочее явно не панацея от поломанных зависимостей

2.9, SkylerX (ok), 09:52, 28/02/2023 [^] [^^] [^^^] [ответить]	+4 +/–
Случай, когда во flatpak зависимости ломаются приведешь? Или ты так, набросить?

3.17, Аноним (17), 10:21, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Когда тебе надо откатится на старую версию софта во флатпаке. Для это надо зайти в лог коммитов и откатится на один из коммитов, но выясняется что он хранит только последние 10 коммитов. А если ты даже знаешь номер старого коммита то ты откатится на него не можешь.

4.20, Аноним (20), 10:37, 28/02/2023 [^] [^^] [^^^] [ответить]	+/–
Но ведь это уже не про зависимости, а плохую особенность флатпака

5.26, Аноним (17), 11:43, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Если ты от старой версии зависишь, то проблема сразу становится про зависимости)

4.43, Аноним (43), 19:12, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Пользуйся Nix, там такой проблемы нет в принципе.

4.45, BrainFucker (ok), 20:48, 28/02/2023 [^] [^^] [^^^] [ответить]	+2 +/–
> Когда тебе надо откатится на старую версию софта во флатпаке. Это что, в этих "супер-пупер" пакетных менеджерах по прежнему нельзя установить параллельно разные версии одного и того же софта? Мда, а дифирамбов-то этим блоатваре сколько было...

3.30, AlexYeCy_not_logged (?), 12:17, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
>Случай, когда во flatpak зависимости ломаются приведешь? А этот твой flatpak он что, заговорённый? Так-то там тоже зависимости есть. И от принципа «всё своё ношу с собой» разрабы flatpak собираются отказываться уж не первый год как: оказывается, если таких пакетов в системе не два — три, то вопрос экономии дискового пространства становится весьма актуальным. Одно дело, когда две или три программулины весом до ста метров занимают по полтора — два гига (а то и больше) каждая, другое дело, когда таких программулин надо установить штук 30, да ещё предусмотреть место для бэкапа корня. И вот чтобы с этим бороться, собираются применять (не начали ещё?) разделяемые среды. Ну т.е объединить все возможные минусы от смешения нескольких подходов, как нынче модно.

4.59, Shevchuk (ok), 19:15, 02/03/2023 [^] [^^] [^^^] [ответить]	+/–
Вы про это code Freedesktop Platform org freedesktop Pla... большой текст свёрнут, показать

2.16, Аноним (16), 10:13, 28/02/2023 [^] [^^] [^^^] [ответить]	+/–
Они же зависят только от общего для всех контейнеров bundle. И ABI не меняется какое-то время. Даже между дистрибутивами. Почем панацея и что тогда панацея?

2.21, Прохожий (??), 10:42, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
А зависимости зло-))) Не вижу проблем в составе дистрибутива софта иметь все необходимые ему компоненты, место на винте, давно не актуальный параметр

3.31, AlexYeCy_not_logged (?), 12:24, 28/02/2023 [^] [^^] [^^^] [ответить]	+3 +/–
>место на винте, давно не актуальный параметр Если оно терабайтами будет жраться, то это станет проблемой для очень и очень многих. а уж если речь не про десктоп, и не про сервер, то и подавно. Нужны бэкапы — добавляй к проблемам множитель. К тому же, распухший / это не только сожранное место на дисках. Вот у меня раньше система была на разделе в 30 гигов. Раньше — это ещё лет 5 назад. Потом 50, теперь 100. И ладно место, но оно теперь побайтово копируется на nas и обратно в разы дольше. И да, три flatpak-а (которые содержат софт, раньше вполне себе устанавливающийся из системных реп) тут тоже сыграли роль, причём заметную. Прибавила ли моя система в функционале, удобстве и прочем в связи с ростом занимаемого пространства? Нет.

4.42, Аноним (43), 19:12, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Расскажи, что там у тебя в системе на 30, 50, и даже 100 гигов? Прон заныканный от мамки в /var/lib/cache? Не считая полтора терабайта пользовательских данных, система с кучей внутренних сервисов и системой сборки занимает 14 гигов. Декстоп с GNOME — 8,5, включая снапшоты. Как ты на ста гигах поместиться не можешь — загадка века, но флатпак тут явно не при чём.

5.44, Аноним (44), 19:49, 28/02/2023 [^] [^^] [^^^] [ответить]	–2 +/–
Думаю, что у него там 100 Гб логов насобиралось

5.48, AlexYeCu_not_logged (?), 21:30, 28/02/2023 [^] [^^] [^^^] [ответить]

+1 +/–

>Расскажи, что там у тебя в системе на 30, 50, и даже 100 гигов?

/usr 25+ Gib.
/var/lib/flatpak 5.5 GiB. 3 (три!) программулины. И почти 20% от прочего софта со всеми потрохами.
Весь остальной /var около 2 GiB.
/opt столько же.
Хомяк и тому подобное на других разделах.

Итого занято чуть больше полтинника. Плюс задел под обновление.

Ты вообще в курсе, как обновление с релиза на релиз происходит? Не, так-то можно и /opt куда-нибудь перемонтировать, и system-upgrade, и flatpak-помойку. Но это, знаешь ли, напрягает.

>Прон заныканный от мамки в /var/lib/cache?

Деточка, не надо проецировать на других. Если даже дяде оно и понадобится, у дяди быстрый интернет. И даже если пожилая мама приедет к дяде в гости, она один шут не сможет найти ни фильмы твоего любимого жанра, ни что-либо ещё, где бы это что-то ни находилось. Дядя ей инструкции по очистке смс с кнопочного телефона регулярно пишет и телепрограммы настраивает.

>система с кучей внутренних сервисов и системой сборки занимает 14 гигов

Твоя система, дитя. Твоя.

6.49, AlexYeCu_not_logged (?), 21:33, 28/02/2023 [^] [^^] [^^^] [ответить]	+/–
Ах да, ещё /share увесистый. Ну и swapfile динамический может разжиреть.

6.66, Аноним (66), 22:45, 03/03/2023 [^] [^^] [^^^] [ответить]	+/–
Для сравнения другой пример flatpak list --app 124 wc -l 124 flatpak list... большой текст свёрнут, показать

3.50, Тот_Самый_Анонимус_ (?), 22:17, 28/02/2023 [^] [^^] [^^^] [ответить]	+/–
Не видь. Это не отменяет твоей слепоты, а не правоты.

3.65, Аноним (66), 22:07, 03/03/2023 [^] [^^] [^^^] [ответить]

+/–

Проблема не только в занимаемом месте на накопителе.

Ещё - в потреблении оперативной памяти, растущем с каждой запущенной программой, слинкованной со своими "неповторимыми" версиями общих зависимостей.

А самая большая проблема кроется в актуальности (обнаруженных уязвимостей для) зависимостей, исключить которую можно только своевременным, централизованным их обновлением.

1.2, Аноним (2), 09:25, 28/02/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
годная вещь

2.3, Аноним (3), 09:27, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
поясните я не совсем понял зачем оно

3.10, SkylerX (ok), 09:55, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Чтобы разработчику голову не забивать наборами библиотек дистрибутивов, которых миллион. Если работает флатпак значит 99.9% шанс, что будет работать содержимое flathub

4.11, SkylerX (ok), 09:58, 28/02/2023 [^] [^^] [^^^] [ответить]	–3 +/–
Ну и приятные плюшки для безопасности и стабильности за счет изоляции от системы

4.13, Аноним (13), 10:00, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Ты имел в виду через жп работает и не возможно пользоваться? Большинство пользователей после этого удаляют линукс.

5.18, Аноним (17), 10:22, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
В оффтопе и маке софт итак распространяется правильно им прослойки и контейнеры не нужны.

6.19, Бывалый смузихлёб (?), 10:36, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Насильно-"правильно". Просто отрубают то что не подходит - вот и всё. Либо ставишь потом то что правильно, либо - сидишь без ПО А ведь тот же новый XCode у яблока - это порядка 7 Гб установочника, который, не дай Боги, хотя бы единственную проблему словит в ходе скачивания - тогда всё заново

7.24, Аноним (16), 11:21, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Но вы же всегда можете скачать исходный код и скомпилировать. Исходный код свободного ПО (и даже не совсем свободного) у вас никто не отберет. Более того можете взять LFS и сидеть компилировать до посинения.

8.37, Аноним (37), 16:26, 28/02/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Мы можем Но выше написали про яблочников ... текст свёрнут, показать

9.47, Аноним (47), 21:12, 28/02/2023 [^] [^^] [^^^] [ответить]	–2 +/–
Яблочники сделали правильно и хорошо LFS и Линукс сделали всё неправильно и пло... текст свёрнут, показать

8.56, Бывалый смузихлёб (?), 17:55, 01/03/2023 [^] [^^] [^^^] [ответить]	+/–
Как бы да, но у XCode нет свободного ПО Слава Богам, что есть Опенкор, позволяющ... текст свёрнут, показать

7.27, Аноним (17), 11:45, 28/02/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Т.е. XCode должен зависеть от 6 гигов системных библиотек и весить 1 гиг? Но зачем?

8.38, Бывалый смузихлёб (?), 16:27, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Ууу, пацан, ты ещё многого не знаешь Вот обновляются, например, шланг или гну... текст свёрнут, показать

9.46, Аноним (47), 21:11, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Так всё что ты описал это правильно и надёжно Так и должно быть Или что правил... большой текст свёрнут, показать

10.55, Бывалый смузихлёб (?), 16:21, 01/03/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Неправильно, когда какое-нибудь обновление свифта с 5 2 на 5 4 подразумевает обн... текст свёрнут, показать

6.32, AlexYeCy_not_logged (?), 12:26, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
>В оффтопе и маке софт итак распространяется правильно им прослойки и контейнеры не нужны. В гробу я видал такую «правильность».

4.22, Самый умный из вас (?), 11:14, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Bubblewrap != flatpak

4.35, YetAnotherOnanym (ok), 15:07, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Это всегда была забота мэнтейнера пакета в конкретном дистрибутиве.

3.36, Аноним (36), 15:15, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> зачем оно никто точно не знает

1.23, Самый умный из вас (?), 11:17, 28/02/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Запускать вложенный баблврап из уже созданного баблврап-окружения научились?

2.28, Аноним (13), 11:51, 28/02/2023 [^] [^^] [^^^] [ответить]	+/–
Там это, вложенный unshare конечно работает, но совсем не так, как хотелось бы пользователю. Поэтому не понятно, чего ты вообще хочешь от него.

3.34, Самый умный из вас (?), 14:25, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Nixos-specific

4.63, Аноним (66), 21:45, 03/03/2023 [^] [^^] [^^^] [ответить]	+/–
В NixOS вообще нет изоляции приложений. А вот используй они bwrap (--bind) для создания окружения вместо кучи симлинок, была бы и изоляция процессов, и порядок в ФС, и патчей сборки стало бы меньше. Но не шмогла.

1.29, Аноним (29), 12:09, 28/02/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>Для выполнения привилегированных операций по настройке контейнера Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера. И чем это лучше, чем firejail?

2.33, Аноним (33), 14:07, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
firejail - это блоатварь, а как и в любой другой блоатвари, в firejail неоднократно находили уязвимости. Да такие, что без fairjail было бы безопаснее, чем с ним. Такой вот парадокс. Ну а сабж тем временем дает истинно минимальный функционал, основанный исключительно на неймспейсах.

3.39, Аноним (39), 16:53, 28/02/2023 [^] [^^] [^^^] [ответить]	+/–
А уязвимости эти эксплуатирются удалено али как?

3.41, Аноним (29), 18:43, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
>в firejail неоднократно находили уязвимости Срочно на раст переписать надо, не иначе!

4.51, Аноним (51), 22:29, 28/02/2023 [^] [^^] [^^^] [ответить]	+1 +/–
думаешь загасить одни уязвимости другими?!

3.52, Вы забыли заполнить поле Name (?), 23:17, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
> в firejail неоднократно находили уязвимости. Уязвимости в bubblewrap https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=bubblewrap - это, конечно, другое.

4.54, Аноним (33), 06:37, 01/03/2023 [^] [^^] [^^^] [ответить]	+/–
способов атаковать firejail на порядки больше, чем сабж. Просто потому, что сабж -- это просто прослойка над linux namespaces (читай: unshare(2) заэкспортировали в виде шелл-скриптуемого бинаря). firejail тем временем пытается быть решением под ключ, и его кривая реализация распространяется много дальше неймспейсов. Поэтому что в прошлом, что в будущем - firejail всегда будет давать заметно большее кол-во CVE.

5.60, Вы забыли заполнить поле Name (?), 21:40, 02/03/2023 [^] [^^] [^^^] [ответить]	+/–
> способов атаковать firejail на порядки больше, чем сабж. Просто потому, что сабж > -- это просто прослойка над linux namespaces (читай: unshare(2) заэкспортировали в > виде шелл-скриптуемого бинаря). firejail тем временем пытается быть решением под ключ, > и его кривая реализация распространяется много дальше неймспейсов. Поэтому что в > прошлом, что в будущем - firejail всегда будет давать заметно большее > кол-во CVE. firejail решает задачу изоляции для любого бинарника, это может быть консольная утилита или графическое приложение, не важно как я его установил себе: пакетом или просто скачал бинарь. К тому же у firejail поддерживает профили для большинства приложений из коробки. Как подобного добиться с bubblewrap? Использовать flatpack? Но это навязывание способа установки софта и соответствующей инфраструктуры откуда эти пакеты брать.

2.53, Вы забыли заполнить поле Name (?), 23:18, 28/02/2023 [^] [^^] [^^^] [ответить]	–1 +/–
> И чем это лучше, чем firejail? Это проблема курицы и яйца. Чтобы настроить контейнер нужны привилегии. Либо suid, либо как в докере.

2.62, Аноним (66), 21:26, 03/03/2023 [^] [^^] [^^^] [ответить]	+/–
В твоей цитате из новости лишь малая часть правды. Ядро собранное с включенным CONFIG_USER_NS_UNPRIVILEGED (например, штатные ядра в Арче, кроме linux-hardened) позволяет поставлять bwrap без suid бита (например, как в штатном пакете bubblewrap в Арче) и, следовательно, запускать с привилегиями обычного пользователя. Firejail стартует только под рутом (SUID) или придётся выкинуть из него все фичи, вроде тонкой настройки сети, без которых он превратится в перегруженную версию bwrap'а.

1.40, Аноним (40), 18:15, 28/02/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Network namespaces будут?

2.57, Аноним (33), 07:29, 02/03/2023 [^] [^^] [^^^] [ответить]	+/–
Они там изначально. Дополнительные настройки реализуются в другом месте, см. passt(1).

3.61, Вы забыли заполнить поле Name (?), 21:41, 02/03/2023 [^] [^^] [^^^] [ответить]	+/–
> Они там изначально. Дополнительные настройки реализуются в другом месте, см. passt(1). Ну вот чуть влево вправо все реализуется отдельно. Зачем тогда сравнение с firejail?

4.64, Аноним (66), 21:48, 03/03/2023 [^] [^^] [^^^] [ответить]	+/–
Это называется Unix-way. Полагаю, сравнение демонстрирует одно из достоинств Bubblewrap - модульность.

5.67, Вы забыли заполнить поле Name (?), 16:14, 04/03/2023 [^] [^^] [^^^] [ответить]	+/–
> Это называется Unix-way. Полагаю, сравнение демонстрирует одно из достоинств Bubblewrap > - модульность. Суть в том, что по функционалу сам по себе он умеет сильно меньше, чем firejail. Этот как сравнивать grep с vim и говорить, что в первом меньше уязвимостей.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: