Maka ikewapụ iche, a na-eji teknụzụ izizi akpa akpa Linux ọdịnala, dabere na ojiji nke otu, oghere aha, Seccomp na SELinux. Iji rụọ ọrụ ọpụrụiche iji hazie akpa, Bubblewrap na-eji ikike mgbọrọgwụ malite (faịlụ enwere ike iji ọkọlọtọ suid) wee malitegharịa ikike mgbe emechara akpa ahụ.
Ịmalite oghere aha njirimara na sistemụ aha, nke na-enye gị ohere iji ihe njirimara nke gị dị iche iche n'ime akpa, adịghị mkpa maka ịrụ ọrụ, ebe ọ bụ na ọ naghị arụ ọrụ na ndabara n'ọtụtụ nkesa (A na-edobe Bubblewrap dị ka obere mmejuputa suid nke a. ngalaba aha njirimara ike - ka ewepu onye ọrụ na nhazi njirimara na gburugburu ebe obibi, ewezuga nke dị ugbu a, a na-eji ụdị CLONE_NEWUSER na CLONE_NEWPID). Maka nchebe ọzọ, enwere ike ime n'okpuru njikwa
A na-ewepụta mmemme Bubblewrap n'ụdị PR_SET_NO_NEW_PRIVS, nke machibidoro inweta ihe ùgwù ọhụrụ, dịka ọmụmaatụ, ọ bụrụ na ọkọlọtọ setuid dị.
A na-arụzu oke na ọkwa sistemụ faịlụ site na ịmepụta oghere aha ugwu ọhụrụ na ndabara, nke a na-emepụta nkebi mgbọrọgwụ efu site na iji tmpfs. Ọ bụrụ na ọ dị mkpa, a na-ejikọta akụkụ FS mpụga na nkebi a na ọnọdụ “mount —bind” (dịka ọmụmaatụ, mgbe ejiri nhọrọ “bwrap —ro-bind / usr / usr” malite, a na-ebugharị nkebi / usr site na isi sistemụ. na ọnọdụ ọgụgụ naanị). Ike netwọk nwere oke iji nweta interface loopback nwere ikewapụ nchịkọta netwọk site na ọkọlọtọ CLONE_NEWNET na CLONE_NEWUTS.
Isi ihe dị iche na ọrụ yiri ya
Ntọhapụ ọhụrụ a bụ ihe ama ama maka mmejuputa nkwado maka isonye na aha njirimara dị adị yana hazie oghere aha pid. Iji jikwaa njikọ nke oghere aha, agbakwunyela ọkọlọtọ “--users”, “-userns2” na “-pidns”.
Njirimara a anaghị arụ ọrụ na ọnọdụ setuid ma chọọ iji ọnọdụ dị iche iche nke nwere ike ịrụ ọrụ na-enwetaghị ikike mgbọrọgwụ, mana ọ chọrọ ịgbalite.
Oghere aha njirimara na sistemụ (nwere nkwarụ na ndabara na Debian na RHEL/CentOS) na anaghị ewepu ohere ahụ.
isi: opennet.ru