Loaʻa ka hoʻokuʻu ʻana o nā mea hana no ka hoʻonohonoho ʻana i ka hana o nā kaiapuni kaʻawale ʻo Bubblewrap 0.8, hoʻohana pinepine ʻia e kaohi i nā noi pilikino o nā mea hoʻohana pono ʻole. Ma ka hoʻomaʻamaʻa, hoʻohana ʻia ʻo Bubblewrap e ka papahana Flatpak ma ke ʻano he papa e hoʻokaʻawale i nā noi i hoʻokuʻu ʻia mai nā pūʻulu. Ua kākau ʻia ke code papahana ma C a ua māhele ʻia ma lalo o ka laikini LGPLv2+.
No ka hoʻokaʻawale ʻana, hoʻohana ʻia nā ʻenehana virtualization pahu Linux maʻamau, e pili ana i ka hoʻohana ʻana i nā cgroups, namespaces, Seccomp a me SELinux. No ka hana ʻana i nā hana pono e hoʻonohonoho i kahi pahu, hoʻomaka ʻia ʻo Bubblewrap me nā kuleana kumu (kahi faila me ka hae suid) a laila hoʻihoʻi i nā pono ma hope o ka hoʻomaka ʻana o ka ipu.
ʻAʻole koi ʻia ka hoʻoulu ʻana o nā inoa inoa mea hoʻohana ma ka ʻōnaehana inoa, kahi e hiki ai iā ʻoe ke hoʻohana i kāu mau ʻike ponoʻī i loko o nā pahu, ʻaʻole koi ʻia no ka hana ʻana, no ka mea ʻaʻole ia e hana ma ka paʻamau i nā māhele he nui (Ua hoʻonoho ʻia ʻo Bubblewrap ma ke ʻano he hoʻokō suid palena o kahi subset o nā mea hiki i nā inoa inoa hoʻohana - e hoʻokaʻawale i nā mea hoʻohana a me nā mea hōʻike kaʻina hana mai ke kaiapuni, koe ka mea i kēia manawa, hoʻohana ʻia nā ʻano CLONE_NEWUSER a me CLONE_NEWPID). No ka pale hou aku, hoʻomaka ʻia nā polokalamu i hana ʻia ma lalo o ka Bubblewrap ma ke ʻano PR_SET_NO_NEW_PRIVS, kahi e pāpā ai i ka loaʻa ʻana o nā pono hou, no ka laʻana, inā aia ka hae setuid.
Hoʻopau ʻia ka hoʻokaʻawale ʻana i ka pae ʻōnaehana faila ma ka hana ʻana i kahi inoa inoa mauna hou ma ke ʻano maʻamau, kahi i hana ʻia ai kahi ʻāpana kumu ʻole me ka hoʻohana ʻana i nā tmpfs. Inā pono, hoʻopili ʻia nā ʻāpana FS o waho i kēia ʻāpana ma ke ʻano "mauna -bind" (no ka laʻana, i ka wā i hoʻokuʻu ʻia me ka koho "bwrap -ro-bind /usr /usr", ua hoʻouna ʻia ka ʻāpana /usr mai ka ʻōnaehana nui. ma ke ʻano heluhelu-wale nō). Ua kaupalena ʻia nā mea hiki i ka pūnaewele ke komo i ka interface loopback me ka hoʻokaʻawale ʻana i ka hoʻopaʻa pūnaewele ma o nā hae CLONE_NEWNET a me CLONE_NEWUTS.
ʻO ka ʻokoʻa koʻikoʻi mai ka papahana Firejail like, ka mea hoʻohana hoʻi i ke kumu hoʻohālikelike setuid, ʻo ia ma Bubblewrap ka papa hana ipu e loaʻa wale i nā pono liʻiliʻi e pono ai, a me nā hana holomua āpau e pono ai no ka holo ʻana i nā noi kiʻi, e launa pū me ka papapihi a me nā noi kānana. i Pulseaudio, hoʻoili ʻia i ka ʻaoʻao Flatpak a hoʻokō ʻia ma hope o ka hoʻihoʻi ʻia ʻana o nā pono. ʻO Firejail, ma ka ʻaoʻao ʻē aʻe, hoʻohui i nā hana pili āpau i hoʻokahi faila hiki ke hoʻokō ʻia, kahi mea paʻakikī i ka loiloi a mālama i ka palekana ma ka pae kūpono.
I ka hoʻokuʻu hou:
- Добавлена опция «—disable-userns» отключающая создание в sandbox-окружении своего вложенного пространства идентификаторов пользователей (user namespace).
- Добавлена опция «—assert-userns-disabled» для проверки, что при использовании опции » —disable-userns» задействовано существующее пространство идентификаторов пользователей.
- Повышена информативность сообщений об ошибках, связанных с отключением в ядре настроек CONFIG_SECCOMP и CONFIG_SECCOMP_FILTER.
Source: opennet.ru