Airson aonaranachd, thathas a’ cleachdadh teicneòlasan virtualization container Linux traidiseanta, stèidhichte air cleachdadh cgroups, ainmean-àite, Seccomp agus SELinux. Gus gnìomhachd sochair a dhèanamh gus soitheach a rèiteachadh, thèid Bubblewrap a chuir air bhog le còraichean freumh (faidhle so-ghnìomhaichte le bratach suids) agus an uairsin ath-shuidheachadh sochairean às deidh an soitheach a thòiseachadh.
Chan eil feum air àiteachan ainmean luchd-cleachdaidh a chuir an gnìomh anns an t-siostam namespace, a leigeas leat an seata aithnichearan fa leth agad fhèin a chleachdadh ann an soithichean, airson obrachadh, leis nach obraich e gu bunaiteach ann an iomadh cuairteachadh (tha Bubblewrap air a shuidheachadh mar ghnìomhachadh suid cuibhrichte de a fo-sheata de chomasan ainmean luchd-cleachdaidh - gus aithnichear cleachdaiche is pròiseas uile a chuir a-mach às an àrainneachd, ach a-mhàin an tè a th’ ann an-dràsta, thathas a’ cleachdadh modhan CLONE_NEWUSER agus CLONE_NEWPID). Airson dìon a bharrachd, so-ghnìomhaichte fo smachd
Bithear a’ cur air bhog prògraman Bubblewrap ann am modh PR_SET_NO_NEW_PRIVS, a tha a’ toirmeasg sochairean ùra fhaighinn, mar eisimpleir, ma tha a’ bhratach setuid an làthair.
Tha iomallachd aig ìre siostam faidhle air a choileanadh le bhith a’ cruthachadh àite-ainm sreap ùr gu bunaiteach, anns a bheil sgaradh freumh falamh air a chruthachadh a’ cleachdadh tmpfs. Ma tha feum air, tha sgaraidhean FS taobh a-muigh ceangailte ris a’ phàirt seo sa mhodh “mount —bind” (mar eisimpleir, nuair a thèid a chuir air bhog leis an roghainn “bwrap —ro-bind / usr / usr”, thèid an sgaradh / usr a chuir air adhart bhon phrìomh shiostam ann am modh leughaidh a-mhàin). Tha comasan lìonra cuingealaichte ri ruigsinneachd air an eadar-aghaidh loopback le aonaranachd stac lìonra tro na brataichean CLONE_NEWNET agus CLONE_NEWUTS.
Prìomh eadar-dhealachadh bho phròiseact coltach ris
Tha an naidheachd ùr ainmeil airson a bhith a’ buileachadh taic airson a dhol còmhla ri àiteachan ainmean cleachdaiche a th’ ann mar-thà agus raointean ainmean pid pròiseas. Gus smachd a chumail air ceangal àiteachan ainmean, chaidh na brataichean “--userns”, “--userns2” agus “-pidns” a chur ris.
Chan eil am feart seo ag obair ann am modh setuid agus feumaidh e modh air leth a chleachdadh a dh’ obraicheas gun a bhith a’ faighinn còraichean freumha, ach a dh’ fheumas gnìomhachadh
àiteachan ainmean luchd-cleachdaidh air an t-siostam (ciorramach gu bunaiteach air Debian agus RHEL / CentOS) agus chan eil sin a’ dùnadh a-mach comas
Source: fosgailtenet.ru