ProHoster > Блог > ozi ịntanetị > Mwepụta nke Bubblewrap 0.8, oyi akwa maka imepụta gburugburu dịpụrụ adịpụ

Mwepụta nke Bubblewrap 0.8, oyi akwa maka imepụta gburugburu dịpụrụ adịpụ

Ntọhapụ nke ngwaọrụ maka ịhazi ọrụ nke gburugburu dịpụrụ adịpụ Bubblewrap 0.8 dị, a na-ejikarị machibido ngwa nke ndị ọrụ na-enweghị ohere. Na omume, Flatpak na-eji Bubblewrap dị ka oyi akwa iji kewapụ ngwa ewepụtara na ngwugwu. Edere koodu ọrụ ahụ na C ma kesaa ya n'okpuru ikike LGPLv2+.

Maka ikewapụ iche, a na-eji teknụzụ izizi akpa akpa Linux ọdịnala, dabere na ojiji nke otu, oghere aha, Seccomp na SELinux. Iji rụọ ọrụ ọpụrụiche iji hazie akpa, Bubblewrap na-eji ikike mgbọrọgwụ malite (faịlụ enwere ike iji ọkọlọtọ suid) wee malitegharịa ikike mgbe emechara akpa ahụ.

Ịmalite oghere aha njirimara na sistemụ aha, nke na-enye gị ohere iji ihe njirimara nke gị dị iche iche n'ime akpa, adịghị mkpa maka ịrụ ọrụ, ebe ọ bụ na ọ naghị arụ ọrụ na ndabara n'ọtụtụ nkesa (A na-edobe Bubblewrap dị ka obere mmejuputa suid nke a. ngalaba aha njirimara ikike - ka ewepu onye ọrụ na nhazi njirimara na gburugburu ebe obibi, ewezuga nke dị ugbu a, a na-eji ụdị CLONE_NEWUSER na CLONE_NEWPID). Maka nchebe ọzọ, mmemme ndị emere n'okpuru Bubblewrap na-amalite na ọnọdụ PR_SET_NO_NEW_PRIVS, nke machibidoro inweta ihe ùgwù ọhụrụ, dịka ọmụmaatụ, ọ bụrụ na ọkọlọtọ setuid dị.

A na-arụzu oke na ọkwa sistemụ faịlụ site na ịmepụta oghere aha ugwu ọhụrụ na ndabara, nke a na-emepụta nkebi mgbọrọgwụ efu site na iji tmpfs. Ọ bụrụ na ọ dị mkpa, a na-ejikọta akụkụ FS mpụga na nkebi a na ọnọdụ “mount —bind” (dịka ọmụmaatụ, mgbe ejiri nhọrọ “bwrap —ro-bind / usr / usr” malite, a na-ebugharị nkebi / usr site na isi sistemụ. na ọnọdụ ọgụgụ naanị). Ike netwọk nwere oke iji nweta interface loopback nwere ikewapụ nchịkọta netwọk site na ọkọlọtọ CLONE_NEWNET na CLONE_NEWUTS.

Isi ihe dị iche na ọrụ Firejail yiri nke ahụ, nke na-ejikwa ihe ngosi mmalite setuid, bụ na na Bubblewrap, oyi akwa imepụta akpa na-agụnye naanị ikike kacha nta dị mkpa, yana ọrụ niile dị elu dị mkpa maka ịme ngwa eserese, na-emekọrịta na desktọpụ na nzacha arịrịọ. na Pulseaudio, bufere n'akụkụ Flatpak wee gbuo ya mgbe emechara ihe ùgwù ndị ahụ. Firejail, n'aka nke ọzọ, na-ejikọta ọrụ niile metụtara ya na otu faịlụ a na-arụ ọrụ, nke na-eme ka o sie ike nyochaa na idobe nchekwa na ọkwa kwesịrị ekwesị.

Na mwepụta ọhụrụ:

  • Добавлена опция «—disable-userns» отключающая создание в sandbox-окружении своего вложенного пространства идентификаторов пользователей (user namespace).
  • Добавлена опция «—assert-userns-disabled» для проверки, что при использовании опции » —disable-userns» задействовано существующее пространство идентификаторов пользователей.
  • Повышена информативность сообщений об ошибках, связанных с отключением в ядре настроек CONFIG_SECCOMP и CONFIG_SECCOMP_FILTER.

isi: opennet.ru

Tinye a comment