foillseachadh ùr den phasgan innealan , air a dhealbhadh gus obair àrainneachdan iomallach ann an Linux a chuir air dòigh agus ag obair aig ìre tagraidh luchd-cleachdaidh gun bhuannachd. Ann an cleachdadh, tha Bubblewrap air a chleachdadh leis a’ phròiseact Flatpak mar shreath gus tagraidhean a chuirear air bhog bho phasganan a sgaradh. Tha còd a’ phròiseict sgrìobhte ann an C agus le cead fo LGPLv2+.
Airson aonaranachd, thathas a’ cleachdadh teicneòlasan virtualization container Linux traidiseanta, stèidhichte air cleachdadh cgroups, ainmean-àite, Seccomp agus SELinux. Gus gnìomhachd sochair a dhèanamh gus soitheach a rèiteachadh, thèid Bubblewrap a chuir air bhog le còraichean freumh (faidhle so-ghnìomhaichte le bratach suids) agus an uairsin ath-shuidheachadh sochairean às deidh an soitheach a thòiseachadh.
Chan eil feum air àiteachan ainmean luchd-cleachdaidh a chuir an gnìomh anns an t-siostam namespace, a leigeas leat an seata aithnichearan fa leth agad fhèin a chleachdadh ann an soithichean, airson obrachadh, leis nach obraich e gu bunaiteach ann an iomadh cuairteachadh (tha Bubblewrap air a shuidheachadh mar ghnìomhachadh suid cuibhrichte de a fo-sheata de chomasan ainmean luchd-cleachdaidh - gus aithnichear cleachdaiche is pròiseas uile a chuir a-mach às an àrainneachd, ach a-mhàin an tè a th’ ann an-dràsta, thathas a’ cleachdadh modhan CLONE_NEWUSER agus CLONE_NEWPID). Airson dìon a bharrachd, so-ghnìomhaichte fo smachd
Bithear a’ cur air bhog prògraman Bubblewrap ann am modh PR_SET_NO_NEW_PRIVS, a tha a’ toirmeasg sochairean ùra fhaighinn, mar eisimpleir, ma tha a’ bhratach setuid an làthair.
Tha iomallachd aig ìre siostam faidhle air a choileanadh le bhith a’ cruthachadh àite-ainm sreap ùr gu bunaiteach, anns a bheil sgaradh freumh falamh air a chruthachadh a’ cleachdadh tmpfs. Ma tha feum air, tha sgaraidhean FS taobh a-muigh ceangailte ris a’ phàirt seo sa mhodh “mount —bind” (mar eisimpleir, nuair a thèid a chuir air bhog leis an roghainn “bwrap —ro-bind / usr / usr”, thèid an sgaradh / usr a chuir air adhart bhon phrìomh shiostam ann am modh leughaidh a-mhàin). Tha comasan lìonra cuingealaichte ri ruigsinneachd air an eadar-aghaidh loopback le aonaranachd stac lìonra tro na brataichean CLONE_NEWNET agus CLONE_NEWUTS.
Prìomh eadar-dhealachadh bho phròiseact coltach ris , a tha cuideachd a’ cleachdadh modal cur air bhog setuid, gu bheil ann am Bubblewrap tha an còmhdach cruthachaidh container a’ toirt a-steach dìreach na comasan as ìsle a tha riatanach, agus na gnìomhan adhartach uile a tha riatanach airson a bhith a ’ruith thagraidhean grafaigeach, ag eadar-obrachadh leis an deasg agus a’ sìoladh fiosan gu Pulseaudio air an taobh a-muigh Flatpak agus air an cur an gnìomh às deidh na sochairean a bhith air an ath-shuidheachadh. Air an làimh eile, bidh Firejail a’ cothlamadh a h-uile gnìomh co-cheangailte ann an aon fhaidhle so-ghnìomhaichte, a tha ga dhèanamh duilich tèarainteachd a sgrùdadh agus a chumail suas. .
Tha an naidheachd ùr ainmeil airson a bhith a’ buileachadh taic airson a dhol còmhla ri àiteachan ainmean cleachdaiche a th’ ann mar-thà agus raointean ainmean pid pròiseas. Gus smachd a chumail air ceangal àiteachan ainmean, chaidh na brataichean “--userns”, “--userns2” agus “-pidns” a chur ris.
Chan eil am feart seo ag obair ann am modh setuid agus feumaidh e modh air leth a chleachdadh a dh’ obraicheas gun a bhith a’ faighinn còraichean freumha, ach a dh’ fheumas gnìomhachadh
àiteachan ainmean luchd-cleachdaidh air an t-siostam (ciorramach gu bunaiteach air Debian agus RHEL / CentOS) agus chan eil sin a’ dùnadh a-mach comas airson an iomall cuingeachaidhean “use namespaces”. Tha feartan ùra Bubblewrap 0.4 cuideachd a’ toirt a-steach comas togail leis an leabharlann musl C an àite glibc agus taic airson fiosrachadh namespace a shàbhaladh gu faidhle le staitistig ann an cruth JSON.
Source: fosgailtenet.ru