ntọhapụ ọhụrụ nke ngwa ngwa , emebere iji hazie ọrụ nke gburugburu dịpụrụ adịpụ na Linux ma na-arụ ọrụ na ọkwa ngwa nke ndị ọrụ na-enweghị ohere. Na omume, Flatpak na-eji Bubblewrap dị ka oyi akwa iji kewapụ ngwa ewepụtara na ngwugwu. Edere koodu oru ngo na C na nyere ikike n'okpuru LGPLv2+.
Maka ikewapụ iche, a na-eji teknụzụ izizi akpa akpa Linux ọdịnala, dabere na ojiji nke otu, oghere aha, Seccomp na SELinux. Iji rụọ ọrụ ọpụrụiche iji hazie akpa, Bubblewrap na-eji ikike mgbọrọgwụ malite (faịlụ enwere ike iji ọkọlọtọ suid) wee malitegharịa ikike mgbe emechara akpa ahụ.
Ịmalite oghere aha njirimara na sistemụ aha, nke na-enye gị ohere iji ihe njirimara nke gị dị iche iche n'ime akpa, adịghị mkpa maka ịrụ ọrụ, ebe ọ bụ na ọ naghị arụ ọrụ na ndabara n'ọtụtụ nkesa (A na-edobe Bubblewrap dị ka obere mmejuputa suid nke a. ngalaba aha njirimara ike - ka ewepu onye ọrụ na nhazi njirimara na gburugburu ebe obibi, ewezuga nke dị ugbu a, a na-eji ụdị CLONE_NEWUSER na CLONE_NEWPID). Maka nchebe ọzọ, enwere ike ime n'okpuru njikwa
A na-ewepụta mmemme Bubblewrap n'ụdị PR_SET_NO_NEW_PRIVS, nke machibidoro inweta ihe ùgwù ọhụrụ, dịka ọmụmaatụ, ọ bụrụ na ọkọlọtọ setuid dị.
A na-arụzu oke na ọkwa sistemụ faịlụ site na ịmepụta oghere aha ugwu ọhụrụ na ndabara, nke a na-emepụta nkebi mgbọrọgwụ efu site na iji tmpfs. Ọ bụrụ na ọ dị mkpa, a na-ejikọta akụkụ FS mpụga na nkebi a na ọnọdụ “mount —bind” (dịka ọmụmaatụ, mgbe ejiri nhọrọ “bwrap —ro-bind / usr / usr” malite, a na-ebugharị nkebi / usr site na isi sistemụ. na ọnọdụ ọgụgụ naanị). Ike netwọk nwere oke iji nweta interface loopback nwere ikewapụ nchịkọta netwọk site na ọkọlọtọ CLONE_NEWNET na CLONE_NEWUTS.
Isi ihe dị iche na ọrụ yiri ya , nke na-ejikwa ihe ngosi mmalite setuid, bụ na na Bubblewrap, oyi akwa imepụta akpa na-agụnye naanị ikike kacha nta dị mkpa, yana ọrụ niile dị elu achọrọ maka ngwa eserese, na-emekọrịta na desktọpụ na nzacha oku na Pulseaudio na-apụ apụ Flatpak wee gbuo ya. mgbe emechara ihe ùgwù ndị ahụ. Firejail, n'aka nke ọzọ, na-ejikọta ọrụ niile metụtara ya n'otu faịlụ nwere ike ime, nke na-eme ka o sie ike nyochaa na idobe nchekwa na. .
Ntọhapụ ọhụrụ a bụ ihe ama ama maka mmejuputa nkwado maka isonye na aha njirimara dị adị yana hazie oghere aha pid. Iji jikwaa njikọ nke oghere aha, agbakwunyela ọkọlọtọ “--users”, “-userns2” na “-pidns”.
Njirimara a anaghị arụ ọrụ na ọnọdụ setuid ma chọọ iji ọnọdụ dị iche iche nke nwere ike ịrụ ọrụ na-enwetaghị ikike mgbọrọgwụ, mana ọ chọrọ ịgbalite.
Oghere aha njirimara na sistemụ (nwere nkwarụ na ndabara na Debian na RHEL/CentOS) na anaghị ewepu ohere ahụ. n'ihi na "onye ọrụ ahaspaces" mgbochi rim. Ihe ọhụrụ nke Bubblewrap 0.4 gụnyekwara ikike iji ụlọ akwụkwọ musl C wuo kama glibc yana nkwado maka ịchekwa ozi oghere aha na faịlụ nwere ọnụ ọgụgụ na usoro JSON.
isi: opennet.ru