Tha sgaoileadh innealan airson obair àrainneachdan iomallach a chuir air dòigh Bubblewrap 0.6 ri fhaighinn, mar as trice air a chleachdadh gus casg a chuir air tagraidhean fa-leth de luchd-cleachdaidh gun bhuannachd. Ann an cleachdadh, tha Bubblewrap air a chleachdadh leis a’ phròiseact Flatpak mar shreath gus tagraidhean a chuirear air bhog bho phasganan a sgaradh. Tha còd a’ phròiseict sgrìobhte ann an C agus air a chuairteachadh fo chead LGPLv2+.
Airson aonaranachd, thathas a’ cleachdadh teicneòlasan virtualization container Linux traidiseanta, stèidhichte air cleachdadh cgroups, ainmean-àite, Seccomp agus SELinux. Gus gnìomhachd sochair a dhèanamh gus soitheach a rèiteachadh, thèid Bubblewrap a chuir air bhog le còraichean freumh (faidhle so-ghnìomhaichte le bratach suids) agus an uairsin ath-shuidheachadh sochairean às deidh an soitheach a thòiseachadh.
Chan eil feum air àiteachan ainmean luchd-cleachdaidh a chuir an gnìomh anns an t-siostam namespace, a leigeas leat an seata aithnichearan fa leth agad fhèin a chleachdadh ann an soithichean, airson obrachadh, leis nach obraich e gu bunaiteach ann an iomadh cuairteachadh (tha Bubblewrap air a shuidheachadh mar ghnìomhachadh suid cuibhrichte de a fo-sheata de chomasan ainmean luchd-cleachdaidh - gus aithnichear cleachdaiche is pròiseas uile a chuir a-mach às an àrainneachd, ach a-mhàin an tè a th’ ann an-dràsta, thathas a’ cleachdadh modhan CLONE_NEWUSER agus CLONE_NEWPID). Airson dìon a bharrachd, thèid prògraman a chaidh a chuir gu bàs fo Bubblewrap a chuir air bhog sa mhodh PR_SET_NO_NEW_PRIVS, a tha a’ toirmeasg sochairean ùra fhaighinn, mar eisimpleir, ma tha a’ bhratach setuid an làthair.
Tha iomallachd aig ìre siostam faidhle air a choileanadh le bhith a’ cruthachadh àite-ainm sreap ùr gu bunaiteach, anns a bheil sgaradh freumh falamh air a chruthachadh a’ cleachdadh tmpfs. Ma tha feum air, tha sgaraidhean FS taobh a-muigh ceangailte ris a’ phàirt seo sa mhodh “mount —bind” (mar eisimpleir, nuair a thèid a chuir air bhog leis an roghainn “bwrap —ro-bind / usr / usr”, thèid an sgaradh / usr a chuir air adhart bhon phrìomh shiostam ann am modh leughaidh a-mhàin). Tha comasan lìonra cuingealaichte ri ruigsinneachd air an eadar-aghaidh loopback le aonaranachd stac lìonra tro na brataichean CLONE_NEWNET agus CLONE_NEWUTS.
Is e am prìomh eadar-dhealachadh bhon phròiseact coltach ri Firejail, a tha cuideachd a’ cleachdadh a’ mhodail cur air bhog setuid, gu bheil ann am Bubblewrap an còmhdach cruthachaidh container a’ toirt a-steach dìreach na comasan as ìsle a tha riatanach, agus na gnìomhan adhartach uile a tha riatanach airson a bhith a’ ruith thagraidhean grafaigeach, ag eadar-obrachadh leis an deasg agus a’ sìoladh iarrtasan. gu Pulseaudio, air a ghluasad gu taobh Flatpak agus air a chuir gu bàs às deidh na sochairean ath-shuidheachadh. Air an làimh eile, bidh Firejail a ’cothlamadh a h-uile gnìomh co-cheangailte ann an aon fhaidhle so-ghnìomhaichte, a tha ga dhèanamh duilich tèarainteachd a sgrùdadh agus a chumail aig an ìre cheart.
Anns an fhoillseachadh ùr:
- Taic a bharrachd airson siostam cruinneachaidh Meson. Tha taic airson togail le Autotools air a chumail airson a-nis, ach thèid a thoirt air falbh ann am brath san àm ri teachd.
- Chaidh roghainn “--add-seccomp” a chuir an gnìomh gus barrachd air aon phrògram seccomp a chuir ris. Chaidh rabhadh a chuir ris ma shònraicheas tu an roghainn “--seccomp” a-rithist, cha tèid ach am paramadair mu dheireadh a chuir an sàs.
- Chaidh am prìomh mheur ann an stòr git ath-ainmeachadh gu prìomh.
- Chaidh taic phàirteach a chur ris airson an t-sònrachadh REUSE, a tha ag aonachadh a’ phròiseas airson a bhith a’ sònrachadh fiosrachadh cead agus dlighe-sgrìobhaidh. Tha bannan-cinn SPDX-License-Identifier air an cur ri mòran fhaidhlichean còd. Le bhith a’ leantainn stiùiridhean REUSE bidh e nas fhasa co-dhùnadh gu fèin-ghluasadach dè an cead a tha a’ buntainn ris na pàirtean den chòd tagraidh.
- Air a chur ris a’ sgrùdadh luach a’ chunntair argamaid loidhne-àithne (argc) agus air fàgail èiginn a chuir an gnìomh ma tha a’ chunntair neoni. Bidh an t-atharrachadh a’ cuideachadh le bhith a’ cur casg air cùisean tèarainteachd a dh’ adhbhraicheas làimhseachadh ceàrr air argamaidean loidhne-àithne a chaidh seachad, leithid CVE-2021-4034 ann am Polkit.
Source: fosgailtenet.ru