Ar mhaithe le haonrú, úsáidtear teicneolaíochtaí fíorúlaithe coimeádán Linux traidisiúnta, bunaithe ar úsáid cgroups, ainmspásanna, Seccomp agus SELinux. Chun oibríochtaí faoi phribhléid a dhéanamh chun coimeádán a chumrú, seolfar Bubblewrap le cearta fréimhe (comhad inrite le bratach suide) agus ansin athshocraíonn sé pribhléidí tar éis an coimeádán a thúsú.
Níl gá le spásanna ainmneacha úsáideoirí a ghníomhachtú sa chóras ainmspáis, a cheadaíonn duit do shraith aitheantóirí ar leith féin a úsáid i gcoimeádáin, toisc nach n-oibríonn sé de réir réamhshocraithe i go leor dáiltí (tá Bubblewrap suite mar fhorfheidhmiú suidthe teoranta a fothacar de chumas spásanna ainm úsáideora - chun gach aitheantóir úsáideora agus próiseála a eisiamh ón gcomhshaol, seachas an ceann reatha, úsáidtear na modhanna CLONE_NEWUSER agus CLONE_NEWPID). Le haghaidh cosanta breise, inrite faoi rialú
Seoltar cláir mboilgeog i mód PR_SET_NO_NEW_PRIVS, a chuireann cosc ar phribhléidí nua a fháil, mar shampla, má tá an bhratach setuid i láthair.
Déantar leithlisiú ar leibhéal an chórais comhad trí ainmspás mount nua a chruthú de réir réamhshocraithe, ina gcruthaítear deighilt fréimhe folamh ag baint úsáide as tmpfs. Más gá, tá deighiltí seachtracha FS ceangailte leis an deighilt seo sa mhód “mount —bind” (mar shampla, nuair a sheoltar iad leis an rogha “bwrap —ro-bind / usr / usr”, cuirtear an deighilt /usr ar aghaidh ón bpríomhchóras i mód inléite amháin). Tá cumais líonra teoranta do rochtain ar an gcomhéadan loopback le haonrú cruachta líonra trí na bratacha CLONE_NEWNET agus CLONE_NEWUTS.
Príomhdhifríocht ó thionscadal comhchosúil
Tá an scaoileadh nua suntasach mar gheall ar thacaíocht a chur i bhfeidhm chun spásanna ainm úsáideora atá ann cheana a cheangal agus spásanna ainm pid próiseála. Chun nascadh spásanna ainmneacha a rialú, tá na bratacha “--userns”, “--userns2” agus “-pidns” curtha leis.
Ní oibríonn an ghné seo i mód setuid agus éilíonn sé úsáid mód ar leith a d'fhéadfadh oibriú gan cearta fréimhe a fháil, ach éilíonn sé gníomhachtú
spásanna ainmneacha úsáideora ar an gcóras (díchumasaithe de réir réamhshocraithe ar Debian agus RHEL/CentOS) agus ní chuireann sé an fhéidearthacht as an áireamh
Foinse: oscailtenet.ru