Ma hope o hoʻokahi makahiki o ka hoʻomohala ʻana, ua hoʻokuʻu ʻia kahi mana hou o Bubblewrap 0.9, kahi mea hana no ka hoʻokele ʻana i nā wahi i hoʻokaʻawale ʻia. Hoʻohana ʻia ia e kaupalena i nā noi pākahi no nā mea hoʻohana ʻole. Hoʻohana ʻia ʻo Bubblewrap e ka papahana Flatpak ma ke ʻano he papa no ka hoʻokaʻawale ʻana i nā noi i hoʻokuʻu ʻia mai nā pūʻolo. Ua kākau ʻia ke code o ka papahana ma C a ua hoʻolaha ʻia ma lalo o ka laikini LGPLv2+.
Hoʻohana ʻia nā mea kuʻuna no ka insulation Linux nā ʻenehana virtualization ipu e pili ana i ka hoʻohana ʻana i nā cgroups, namespaces, Seccomp a me SELinuxNo ka hoʻokō ʻana i nā hana hoʻonohonoho pahu kūikawā, holo ʻo Bubblewrap me nā kuleana aʻa (ua hoʻāla ʻia ka hae suid i ka faila hoʻokō) a laila hāʻule i nā kuleana ma hope o ka pau ʻana o ka hoʻomaka ʻana o ka pahu.
ʻAʻole koi ʻia ka hoʻoulu ʻana o nā inoa inoa mea hoʻohana ma ka ʻōnaehana inoa, kahi e hiki ai iā ʻoe ke hoʻohana i kāu mau ʻike ponoʻī i loko o nā pahu, ʻaʻole koi ʻia no ka hana ʻana, no ka mea ʻaʻole ia e hana ma ka paʻamau i nā māhele he nui (Ua hoʻonoho ʻia ʻo Bubblewrap ma ke ʻano he hoʻokō suid palena o kahi subset o nā mea hiki i nā inoa inoa hoʻohana - e hoʻokaʻawale i nā mea hoʻohana a me nā mea hōʻike kaʻina hana mai ke kaiapuni, koe ka mea i kēia manawa, hoʻohana ʻia nā ʻano CLONE_NEWUSER a me CLONE_NEWPID). No ka pale hou aku, hoʻomaka ʻia nā polokalamu i hana ʻia ma lalo o ka Bubblewrap ma ke ʻano PR_SET_NO_NEW_PRIVS, kahi e pāpā ai i ka loaʻa ʻana o nā pono hou, no ka laʻana, inā aia ka hae setuid.
Hoʻopau ʻia ka hoʻokaʻawale ʻana i ka pae ʻōnaehana faila ma ka hana ʻana i kahi inoa inoa mauna hou ma ke ʻano maʻamau, kahi i hana ʻia ai kahi ʻāpana kumu ʻole me ka hoʻohana ʻana i nā tmpfs. Inā pono, hoʻopili ʻia nā ʻāpana FS o waho i kēia ʻāpana ma ke ʻano "mauna -bind" (no ka laʻana, i ka wā i hoʻokuʻu ʻia me ka koho "bwrap -ro-bind /usr /usr", ua hoʻouna ʻia ka ʻāpana /usr mai ka ʻōnaehana nui. ma ke ʻano heluhelu-wale nō). Ua kaupalena ʻia nā mea hiki i ka pūnaewele ke komo i ka interface loopback me ka hoʻokaʻawale ʻana i ka hoʻopaʻa pūnaewele ma o nā hae CLONE_NEWNET a me CLONE_NEWUTS.
ʻO ka ʻokoʻa koʻikoʻi mai ka papahana Firejail like, ka mea hoʻohana hoʻi i ke kumu hoʻohālikelike setuid, ʻo ia ma Bubblewrap ka papa hana ipu e loaʻa wale i nā pono liʻiliʻi e pono ai, a me nā hana holomua āpau e pono ai no ka holo ʻana i nā noi kiʻi, e launa pū me ka papapihi a me nā noi kānana. i Pulseaudio, hoʻoili ʻia i ka ʻaoʻao Flatpak a hoʻokō ʻia ma hope o ka hoʻihoʻi ʻia ʻana o nā pono. ʻO Firejail, ma ka ʻaoʻao ʻē aʻe, hoʻohui i nā hana pili āpau i hoʻokahi faila hiki ke hoʻokō ʻia, kahi mea paʻakikī i ka loiloi a mālama i ka palekana ma ka pae kūpono.
I ka hoʻokuʻu hou:
- Ua wehe ʻia nā faila i hana ʻia e Autotools mai ka pūʻolo code kumu. Ua ʻōlelo ʻia i kēia manawa ka ʻōnaehana kūkulu Meson no ke kūkulu ʻana. Loaʻa nō ke kākoʻo koho Autotools, akā ua hoʻolālā ʻia e wehe ʻia i nā hoʻokuʻu e hiki mai ana.
- Ua hoʻohui ʻia ke koho "--argv0" e hoʻonohonoho i ka waiwai o ka hoʻopaʻapaʻa laina kauoha zeroth (ʻo argv[0] ka inoa o ka faila hiki ke hoʻokō ʻia, no ka laʻana "--argv0 /usr/bin/test").
- Hana wale ke koho "--symlink" i kēia manawa ke kū mua ka loulou hōʻailona a kuhikuhi i ka faila i makemake ʻia.
- Ua palapala ʻia ke koho "--cap-add", hoʻohana ʻia e hoʻonohonoho i nā hae hiki, e like me "CAP_DAC_READ_SEARCH".
- Ua hoʻonui ʻia ka ʻike o nā hewa i hōʻike ʻia i ka wā o ka hemahema o ke kau ʻana.
- Ua maʻalahi ke kaʻina hana o ka hana ʻana i nā hoʻokolohua unit.
- Ua hāʻule ke kākoʻo no nā mana kahiko o Python i nā hiʻohiʻona hoʻohana.
- Nā hana hoʻokaʻawale hoʻomanaʻo i hoʻomaikaʻi ʻia.
Source: opennet.ru
