ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > የተገለሉ አካባቢዎችን ለመፍጠር የ Bubblewrap 0.6 መልቀቅ

የተገለሉ አካባቢዎችን ለመፍጠር የ Bubblewrap 0.6 መልቀቅ

ገለልተኛ አካባቢዎችን ሥራ ለማደራጀት የሚረዱ መሣሪያዎች Bubblewrap 0.6 ይገኛል፣ አብዛኛውን ጊዜ ጥቅም የሌላቸውን የተጠቃሚዎች የግለሰብ መተግበሪያዎችን ለመገደብ ያገለግላል። በተግባር፣ Bubblewrap በ Flatpak ፕሮጀክት ከጥቅሎች የተጀመሩ መተግበሪያዎችን ለመለየት እንደ ንብርብር ይጠቀማል። የፕሮጀክት ኮድ በ C የተፃፈ እና በLGPLv2+ ፍቃድ ስር ይሰራጫል።

ለየብቻ፣ በቡድን ፣ በስም ቦታ ፣ በሴኮምፕ እና በ SELinux አጠቃቀም ላይ በመመስረት ባህላዊ የሊኑክስ ኮንቴይነር ቨርችዋል ቴክኖሎጂዎች ጥቅም ላይ ይውላሉ። መያዣን ለማዋቀር ልዩ ልዩ ስራዎችን ለመስራት Bubblewrap ከስር መብቶች (ተፈፃሚ ፋይል ከሱይድ ባንዲራ ጋር) ይጀምራል እና መያዣው ከተጀመረ በኋላ ልዩ መብቶችን ያስጀምራል።

በነባሪነት በብዙ ስርጭቶች ውስጥ የማይሰራ ስለሆነ (Bubblewrap እንደ ውሱን የሱይድ ትግበራ) በኮንቴይነሮች ውስጥ የራስዎን የተለየ መለያ ስብስብ እንዲጠቀሙ የሚያስችልዎ የተጠቃሚ ስም ቦታዎችን በስም ቦታ ስርዓት ውስጥ ማንቃት ለስራ ማስኬጃ አያስፈልግም። የተጠቃሚ ስም ቦታ ችሎታዎች ንዑስ ስብስብ - ሁሉንም ተጠቃሚ ለማግለል እና መለያዎችን ከአካባቢው ለማስኬድ፣ ከአሁኑ በስተቀር፣ CLONE_NEWUSER እና CLONE_NEWPID ሁነታዎች ጥቅም ላይ ይውላሉ)። ለበለጠ ጥበቃ፣በBubblewrap ስር የሚፈጸሙ ፕሮግራሞች በPR_SET_NO_NEW_PRIVS ሁነታ ይጀመራሉ፣ይህም አዲስ ልዩ መብቶችን ማግኘት ይከለክላል፣ለምሳሌ፣ሴቱይድ ባንዲራ ካለ።

በፋይል ስርዓት ደረጃ ማግለል የሚከናወነው በነባሪ አዲስ ተራራ የስም ቦታ በመፍጠር ነው ፣ በዚህ ውስጥ ባዶ የስር ክፋይ tmpfs በመጠቀም ይፈጠራል። አስፈላጊ ከሆነ ውጫዊ የ FS ክፍልፋዮች በ "mount — bind" ሁነታ ላይ ከዚህ ክፍል ጋር ተያይዘዋል (ለምሳሌ በ "bwrap —ro-bind / usr / usr" አማራጭ ሲጀመር የ / usr ክፍልፋይ ከዋናው ስርዓት ይተላለፋል. በንባብ-ብቻ ሁነታ)። የአውታረ መረብ ችሎታዎች በCLONE_NEWNET እና CLONE_NEWUTS ባንዲራዎች በኩል ከአውታረ መረብ ቁልል ማግለል ጋር ወደ loopback በይነገጽ ለመድረስ የተገደቡ ናቸው።

ከተመሳሳዩ ፋየርጄል ፕሮጄክት ያለው ቁልፍ ልዩነት የሴቱይድ ማስጀመሪያ ሞዴልን የሚጠቀመው በ Bubblewrap ውስጥ የእቃ መያዢያውን የመፍጠር ንብርብር አስፈላጊ የሆኑትን ዝቅተኛ ችሎታዎች ብቻ እና ሁሉንም ግራፊክ አፕሊኬሽኖችን ለማስኬድ ፣ ከዴስክቶፕ ጋር መስተጋብር ለመፍጠር እና ጥያቄዎችን ለማጣራት አስፈላጊ የሆኑ ሁሉንም የላቀ ተግባራትን ያካትታል ። ወደ Pulseaudio፣ ወደ Flatpak ጎን ተላልፏል እና መብቶቹ እንደገና ከተጀመሩ በኋላ ተፈፃሚ ይሆናል። ፋየርጄል በበኩሉ ሁሉንም ተዛማጅ ተግባራት በአንድ ሊፈጽም በሚችል ፋይል ውስጥ ያጣመረ ሲሆን ይህም በተገቢው ደረጃ ኦዲት ለማድረግ እና ደህንነትን ለመጠበቅ አስቸጋሪ ያደርገዋል.

በአዲሱ እትም፡-

  • Добавлена поддержка сборочной системы Meson. Поддержка сборки при помощи Autotools пока сохранена, но будет удалена в одном из следующих выпусков.
  • Реализована опция «—add-seccomp» для добавления более чем одной программы seccomp. Добавлено предупреждение о том, что при повторном указании опции «—seccomp» будет применён только последний параметр.
  • Ветка master в git-репозитории переименована в main.
  • Добавлена частичная поддержка спецификации REUSE, унифицирующей процесс указания сведений о лицензиях и авторских правах. Во многие файлы с кодом добавлены заголовки SPDX-License-Identifier. Следование рекомендациям REUSE позволяет упростить автоматическое определение какая лицензия применяется к каким из частей кода приложения.
  • Добавлена проверка значения счётчика аргументов командной строки (argc) и реализован экстренный выход в случае если счётчик равен нулю. Изменение позволяет блокировать проблемы с безопасностью, вызванные некорректной обработкой передаваемых аргументов командной строки, такие как CVE-2021-4034 в Polkit.

ምንጭ: opennet.ru

አስተያየት ያክሉ