Tha sgaoileadh innealan airson obair àrainneachdan iomallach a chuir air dòigh Bubblewrap 0.8 ri fhaighinn, mar as trice air a chleachdadh gus casg a chuir air tagraidhean fa-leth de luchd-cleachdaidh gun bhuannachd. Ann an cleachdadh, tha Bubblewrap air a chleachdadh leis a’ phròiseact Flatpak mar shreath gus tagraidhean a chuirear air bhog bho phasganan a sgaradh. Tha còd a’ phròiseict sgrìobhte ann an C agus air a chuairteachadh fo chead LGPLv2+.
Airson aonaranachd, thathas a’ cleachdadh teicneòlasan virtualization container Linux traidiseanta, stèidhichte air cleachdadh cgroups, ainmean-àite, Seccomp agus SELinux. Gus gnìomhachd sochair a dhèanamh gus soitheach a rèiteachadh, thèid Bubblewrap a chuir air bhog le còraichean freumh (faidhle so-ghnìomhaichte le bratach suids) agus an uairsin ath-shuidheachadh sochairean às deidh an soitheach a thòiseachadh.
Chan eil feum air àiteachan ainmean luchd-cleachdaidh a chuir an gnìomh anns an t-siostam namespace, a leigeas leat an seata aithnichearan fa leth agad fhèin a chleachdadh ann an soithichean, airson obrachadh, leis nach obraich e gu bunaiteach ann an iomadh cuairteachadh (tha Bubblewrap air a shuidheachadh mar ghnìomhachadh suid cuibhrichte de a fo-sheata de chomasan ainmean luchd-cleachdaidh - gus aithnichear cleachdaiche is pròiseas uile a chuir a-mach às an àrainneachd, ach a-mhàin an tè a th’ ann an-dràsta, thathas a’ cleachdadh modhan CLONE_NEWUSER agus CLONE_NEWPID). Airson dìon a bharrachd, thèid prògraman a chaidh a chuir gu bàs fo Bubblewrap a chuir air bhog sa mhodh PR_SET_NO_NEW_PRIVS, a tha a’ toirmeasg sochairean ùra fhaighinn, mar eisimpleir, ma tha a’ bhratach setuid an làthair.
Tha iomallachd aig ìre siostam faidhle air a choileanadh le bhith a’ cruthachadh àite-ainm sreap ùr gu bunaiteach, anns a bheil sgaradh freumh falamh air a chruthachadh a’ cleachdadh tmpfs. Ma tha feum air, tha sgaraidhean FS taobh a-muigh ceangailte ris a’ phàirt seo sa mhodh “mount —bind” (mar eisimpleir, nuair a thèid a chuir air bhog leis an roghainn “bwrap —ro-bind / usr / usr”, thèid an sgaradh / usr a chuir air adhart bhon phrìomh shiostam ann am modh leughaidh a-mhàin). Tha comasan lìonra cuingealaichte ri ruigsinneachd air an eadar-aghaidh loopback le aonaranachd stac lìonra tro na brataichean CLONE_NEWNET agus CLONE_NEWUTS.
Is e am prìomh eadar-dhealachadh bhon phròiseact coltach ri Firejail, a tha cuideachd a’ cleachdadh a’ mhodail cur air bhog setuid, gu bheil ann am Bubblewrap an còmhdach cruthachaidh container a’ toirt a-steach dìreach na comasan as ìsle a tha riatanach, agus na gnìomhan adhartach uile a tha riatanach airson a bhith a’ ruith thagraidhean grafaigeach, ag eadar-obrachadh leis an deasg agus a’ sìoladh iarrtasan. gu Pulseaudio, air a ghluasad gu taobh Flatpak agus air a chuir gu bàs às deidh na sochairean ath-shuidheachadh. Air an làimh eile, bidh Firejail a ’cothlamadh a h-uile gnìomh co-cheangailte ann an aon fhaidhle so-ghnìomhaichte, a tha ga dhèanamh duilich tèarainteachd a sgrùdadh agus a chumail aig an ìre cheart.
Anns an fhoillseachadh ùr:
- Добавлена опция «—disable-userns» отключающая создание в sandbox-окружении своего вложенного пространства идентификаторов пользователей (user namespace).
- Добавлена опция «—assert-userns-disabled» для проверки, что при использовании опции » —disable-userns» задействовано существующее пространство идентификаторов пользователей.
- Повышена информативность сообщений об ошибках, связанных с отключением в ядре настроек CONFIG_SECCOMP и CONFIG_SECCOMP_FILTER.
Source: fosgailtenet.ru