Выпуск Bubblewrap 0.11, прослойки для создания изолированных окружений

31.10.2024 15:39

Опубликована новая версия инструментария для организации работы изолированных окружений Bubblewrap 0.11, используемого для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+.

Изоляция на уровне файловой системы производится через создание по умолчанию нового пространства имён точек монтирования (mount namespace), в котором при помощи tmpfs создаётся пустой корневой раздел. В данный раздел при необходимости прикрепляются разделы внешней ФС в режиме "mount --bind" (например, при запуске c опцией "bwrap --ro-bind /usr /usr" раздел /usr пробрасывается из основной системы в режиме только для чтения). Сетевые возможности ограничиваются доступом к loopback-интерфейсу с изоляцией сетевого стека через флаги CLONE_NEWNET и CLONE_NEWUTS.

Для исключения всех лишних идентификаторов пользователей и процессов из создаваемого изолированного окружения могут использоваться режимы CLONE_NEWUSER (user namespace) и CLONE_NEWPID (PID namespace), а для запрета получения новых привилегий применяется режим PR_SET_NO_NEW_PRIVS. На системах с "user namespace" Bubblewrap может запускаться под обычным пользователем, а на системах без "user namespace" может использоваться с флагом suid root для выполнения необходимой инициализации изолированного окружения.

В новом выпуске:

Предоставлена возможность создания точек монтирования, в которых используется моногослойная файловая система OverlayFS, объединяющая несколько частей других файловых систем. Для управления использованием OverlayFS предложены новые опции командой строки "--overlay", "--tmp-overlay", "--ro-overlay" и "--overlay-src".
Добавлена опция "--level-prefix" для подстановки в диагностический вывод уровня приоритета в стиле syslog, что позволяет использовать для обработки вывода такие утилиты, как "logger" и "systemd-cat".
Прекращена поддержка сборочной системы Autotools. Для сборки теперь необходим инструментарий Meson.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/62149-bubblewrap

Ключевые слова: bubblewrap, container

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Аноним (1), 16:19, 31/10/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–15 +/–

2.2, BeLord (ok), 16:27, 31/10/2024 Скрыто ботом-модератором [к модератору]	+6 +/–

3.3, anominus (?), 16:33, 31/10/2024 Скрыто ботом-модератором [к модератору]	–2 +/–

4.9, Аноним (9), 17:50, 31/10/2024 Скрыто ботом-модератором [к модератору]	+/–

3.6, Аноним (6), 17:00, 31/10/2024 Скрыто ботом-модератором [к модератору]	+/–

2.4, Соль земли (?), 16:44, 31/10/2024 Скрыто ботом-модератором [к модератору]	–1 +/–

2.8, OpenEcho (?), 17:38, 31/10/2024 Скрыто ботом-модератором [к модератору]	+/–

3.14, Аноним (14), 18:27, 31/10/2024 Скрыто ботом-модератором [к модератору]	+/–

4.24, OpenEcho (?), 13:48, 01/11/2024 Скрыто ботом-модератором [к модератору]	+/–

2.10, Аноним (10), 17:56, 31/10/2024 Скрыто ботом-модератором [к модератору]	+/–

2.11, Аноним (11), 18:01, 31/10/2024 Скрыто ботом-модератором [к модератору]	+/–

3.15, Аноним (14), 18:30, 31/10/2024 Скрыто ботом-модератором [к модератору]	+/–

2.12, Ананоним (?), 18:21, 31/10/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

2.16, _ (??), 18:52, 31/10/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

....ответы скрыты (13)

1.13, Аноним (13), 18:24, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
По описанию выглядит будто антивирус какой-то. Работать может и работает, но требует пожизненных доработок, затыканий всевозможных дырок и не гарантирует 100% надежности, что приложение не вылезет за пределы контейнера.

2.18, Аноним (6), 21:12, 31/10/2024 [^] [^^] [^^^] [ответить]	+/–
Это больше про неймспейсы комент, чем про сабж.

2.19, Аноним (19), 21:14, 31/10/2024 [^] [^^] [^^^] [ответить]	+/–
Это не контейнер, там ядрёные пространства имён. Почти бесплатная изоляция - то что нужно для запуска ПО с открытым исходным кодом. А 100% надежности не гарантирует даже гипервизор.

3.28, Анониссимус (?), 23:27, 01/11/2024 [^] [^^] [^^^] [ответить]	+/–
100% надёжности не даст даже отдельный компьютер, отключённый от сети. Поэтому да, контейнерная изоляция -- разумный компромисс по защищённости, производительности и удобству.

1.17, Аноним (19), 21:10, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> OverlayFS Аллилуя!

1.20, onanim (?), 22:57, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
кто сравнивал с Firejail, что из этого удобнее? я пока что пользуюсь вторым, но его настройка - это боль.

2.21, Аноним (19), 23:55, 31/10/2024 [^] [^^] [^^^] [ответить]	+/–
Firejail - это готовое решение. Если его настройка - "боль", то bwrap лучше вообще не трогать, он не предназначен к использованию "AS IS".

3.22, Аноним (22), 00:33, 01/11/2024 [^] [^^] [^^^] [ответить]	+/–
видел bwrap, какой-то разницы с fjail не ощутил.

3.26, onanim (?), 19:18, 01/11/2024 [^] [^^] [^^^] [ответить]	+/–
> Firejail - это готовое решение. Если его настройка - "боль", то bwrap > лучше вообще не трогать, он не предназначен к использованию "AS IS". боль начинается, когда пытаешься запустить приложение, для которого нет готового профиля, там даже strace не всегда помогает понять, почему приложение дохнет. плюс захардкоденные пути для whitelist (невозможно указать ничего кроме /home/ и /opt/), и, кажется, сами разрабы толком не понимают и не могут объяснить разницу между whitelist и noblacklist. если у bubblewrap такие же приколы, то останусь с firejail.

2.25, Вы забыли заполнить поле Name (?), 18:39, 01/11/2024 [^] [^^] [^^^] [ответить]	+/–
> но его настройка - это боль В чем боль? Если про Настройки для конкретных приложений, то есть готовые профили.

3.27, onanim (?), 19:18, 01/11/2024 [^] [^^] [^^^] [ответить]	+/–
>> но его настройка - это боль > В чем боль? Если про Настройки для конкретных приложений, то есть готовые > профили. https://www.opennet.me/openforum/vsluhforumID3/135193.html#26

1.23, Аноним (23), 03:09, 01/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>Прекращена поддержка сборочной системы Autotools. Для сборки теперь необходим инструментарий Meson. Теперь бублвсрат и подавно не нужен.

2.29, Анониссимус (?), 23:29, 01/11/2024 [^] [^^] [^^^] [ответить]	+/–
А как ты коммент то написал? Браузер то, поди, тоже не автотулзами собирается...

3.30, Аноним (30), 03:43, 02/11/2024 [^] [^^] [^^^] [ответить]	+/–
Судить о проекте по системе сборки, мда. Вы не таролог, случайно?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: