Alang sa pag-inusara, ang tradisyonal nga Linux container virtualization nga mga teknolohiya gigamit, base sa paggamit sa cgroups, namespaces, Seccom ug SELinux. Aron mahimo ang mga pribilihiyo nga mga operasyon sa pag-configure sa usa ka sudlanan, ang Bubblewrap gilunsad nga adunay mga katungod sa gamut (usa ka ma-executable nga file nga adunay usa ka bandila sa suid) ug dayon i-reset ang mga pribilehiyo pagkahuman masugdan ang sudlanan.
Ang pagpaaktibo sa mga namespace sa user sa sistema sa namespace, nga nagtugot kanimo sa paggamit sa imong kaugalingon nga separado nga set sa mga identifier sa mga sudlanan, dili kinahanglan alang sa operasyon, tungod kay dili kini molihok nga default sa daghang mga distribusyon (Ang Bubblewrap gipahimutang ingon usa ka limitado nga pagpatuman sa suid sa usa ka subset sa mga kapabilidad sa user namespaces - aron dili iapil ang tanang user ug process identifiers gikan sa environment, gawas sa kasamtangan, ang CLONE_NEWUSER ug CLONE_NEWPID mode ang gigamit). Para sa dugang nga proteksyon, executable under control
Ang mga programa sa Bubblewrap gilusad sa PR_SET_NO_NEW_PRIVS mode, nga nagdili sa pagbaton ug bag-ong mga pribilehiyo, pananglitan, kon ang setuid nga bandila anaa.
Ang pag-inusara sa lebel sa sistema sa file nahimo pinaagi sa paghimo og bag-ong mount namespace pinaagi sa default, diin ang usa ka walay sulod nga partition sa ugat gihimo gamit ang tmpfs. Kung gikinahanglan, ang mga eksternal nga partisyon sa FS gilakip niini nga partisyon sa mode nga "mount βbind" (pananglitan, kung gilansad gamit ang kapilian nga "bwrap βro-bind /usr /usr", ang partisyon /usr gipasa gikan sa panguna nga sistema. sa read-only mode). Ang mga kapabilidad sa network limitado sa pag-access sa loopback interface nga adunay network stack isolation pinaagi sa CLONE_NEWNET ug CLONE_NEWUTS nga mga bandera.
Importante nga kalainan gikan sa susama nga proyekto
Ang bag-ong pagpagawas kay bantogan alang sa pagpatuman sa suporta alang sa pag-apil sa kasamtangan nga user namespaces ug proseso pid namespaces. Aron makontrol ang koneksyon sa mga namespace, ang "--userns", "--userns2" ug "-pidns" nga mga bandila gidugang.
Kini nga bahin wala molihok sa setuid mode ug nanginahanglan sa paggamit sa usa ka bulag nga mode nga mahimong molihok nga wala makakuha mga katungod sa gamut, apan nanginahanglan pagpaaktibo
mga namespace sa user sa sistema (na-disable pinaagi sa default sa Debian ug RHEL/CentOS) ug wala iapil ang posibilidad
Source: opennet.ru