The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Bubblewrap 0.11, прослойки для создания изолированных окружений

31.10.2024 15:39

Опубликована новая версия инструментария для организации работы изолированных окружений Bubblewrap 0.11, используемого для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+.

Изоляция на уровне файловой системы производится через создание по умолчанию нового пространства имён точек монтирования (mount namespace), в котором при помощи tmpfs создаётся пустой корневой раздел. В данный раздел при необходимости прикрепляются разделы внешней ФС в режиме "mount --bind" (например, при запуске c опцией "bwrap --ro-bind /usr /usr" раздел /usr пробрасывается из основной системы в режиме только для чтения). Сетевые возможности ограничиваются доступом к loopback-интерфейсу с изоляцией сетевого стека через флаги CLONE_NEWNET и CLONE_NEWUTS.

Для исключения всех лишних идентификаторов пользователей и процессов из создаваемого изолированного окружения могут использоваться режимы CLONE_NEWUSER (user namespace) и CLONE_NEWPID (PID namespace), а для запрета получения новых привилегий применяется режим PR_SET_NO_NEW_PRIVS. На системах с "user namespace" Bubblewrap может запускаться под обычным пользователем, а на системах без "user namespace" может использоваться с флагом suid root для выполнения необходимой инициализации изолированного окружения.

В новом выпуске:

  • Предоставлена возможность создания точек монтирования, в которых используется моногослойная файловая система OverlayFS, объединяющая несколько частей других файловых систем. Для управления использованием OverlayFS предложены новые опции командой строки "--overlay", "--tmp-overlay", "--ro-overlay" и "--overlay-src".
  • Добавлена опция "--level-prefix" для подстановки в диагностический вывод уровня приоритета в стиле syslog, что позволяет использовать для обработки вывода такие утилиты, как "logger" и "systemd-cat".
  • Прекращена поддержка сборочной системы Autotools. Для сборки теперь необходим инструментарий Meson.


  1. Главная ссылка к новости (https://github.com/containers/...)
  2. OpenNews: Выпуск Kata Containers 3.4 с изоляцией на основе виртуализации
  3. OpenNews: Обновление ОС Qubes 4.2.2, использующей виртуализацию для изоляции приложений
  4. OpenNews: Опубликован secimport 0.8 для sandbox-изоляции отдельных Python-модулей
  5. OpenNews: Выпуск системы изоляции приложений Firejail 0.9.72
  6. OpenNews: Mozilla начинает внедрение технологии изоляции библиотек RLBox
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62149-bubblewrap
Ключевые слова: bubblewrap, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 16:19, 31/10/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –11 +/
     
     
  • 2.2, BeLord (ok), 16:27, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +5 +/
     
     
  • 3.3, anominus (?), 16:33, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 4.9, Аноним (9), 17:50, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.6, Аноним (6), 17:00, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.4, Соль земли (?), 16:44, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 2.8, OpenEcho (?), 17:38, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 3.14, Аноним (14), 18:27, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.10, Аноним (10), 17:56, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.11, Аноним (11), 18:01, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 3.15, Аноним (14), 18:30, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.12, Ананоним (?), 18:21, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.16, _ (??), 18:52, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (12)

  • 1.13, Аноним (13), 18:24, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По описанию выглядит будто антивирус какой-то. Работать может и работает, но требует пожизненных доработок, затыканий всевозможных дырок и не гарантирует 100% надежности, что приложение не вылезет за пределы контейнера.
     
     
  • 2.18, Аноним (6), 21:12, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это больше про неймспейсы комент, чем про сабж.
     
  • 2.19, Аноним (19), 21:14, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это не контейнер, там ядрёные пространства имён. Почти бесплатная изоляция - то что нужно для запуска ПО с открытым исходным кодом.
    А 100% надежности не гарантирует даже гипервизор.
     

  • 1.17, Аноним (19), 21:10, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > OverlayFS

    Аллилуя!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру