Til einangrunar er hefðbundin Linux gáma virtualization tækni notuð, byggt á notkun cgroups, namespaces, Seccomp og SELinux. Til að framkvæma forréttindaaðgerðir til að stilla ílát er Bubblewrap ræst með rótarréttindum (keyranleg skrá með suid fána) og endurstillir síðan forréttindi eftir að ílátið er frumstillt.
Virkjun notandanafnarýma í nafnrýmiskerfinu, sem gerir þér kleift að nota þitt eigið aðskilda sett af auðkennum í gámum, er ekki krafist fyrir aðgerðina, þar sem það virkar ekki sjálfgefið í mörgum dreifingum (Bubblewrap er staðsett sem takmörkuð suid útfærsla á a undirmengi notandanafnarýma - til að útiloka öll notenda- og vinnsluauðkenni úr umhverfinu, nema núverandi, CLONE_NEWUSER og CLONE_NEWPID stillingarnar eru notaðar). Fyrir frekari vernd, keyranleg undir stjórn
Bubblewrap forrit eru ræst í PR_SET_NO_NEW_PRIVS ham, sem bannar að fá ný réttindi, til dæmis ef setuid fáninn er til staðar.
Einangrun á skráarkerfisstigi er náð með því að búa til nýtt mount namespace sjálfgefið, þar sem tóm rótarsneiðing er búin til með tmpfs. Ef nauðsyn krefur eru ytri FS skipting tengd við þessa skipting í „mount —bind“ ham (til dæmis, þegar ræst er með „bwrap —ro-bind /usr /usr“ valmöguleikanum er /usr skiptingin áframsend frá aðalkerfinu í skrifvarinn ham). Netgeta er takmörkuð við aðgang að bakhliðarviðmóti með netstafla einangrun í gegnum CLONE_NEWNET og CLONE_NEWUTS fánana.
Lykilmunur frá svipuðu verkefni
Nýja útgáfan er áberandi fyrir innleiðingu á stuðningi við að sameina núverandi notendanafnarými og vinnslu pid nafnrými. Til að stjórna tengingu nafnrýma hefur „--userns“, „--userns2“ og „-pidns“ fánum verið bætt við.
Þessi eiginleiki virkar ekki í setuid ham og krefst notkunar á sérstakri stillingu sem getur virkað án þess að fá rótarréttindi, en krefst virkjunar
notendanafnarými á kerfinu (sjálfgefið óvirk á Debian og RHEL/CentOS) og útilokar ekki möguleikann
Heimild: opennet.ru