แฎแแแแแกแแฌแแแแแแ แแแกแขแ แฃแแแแขแแแแก แแแแแจแแแแ แแแแแแ แแแฃแ แแแ แแแแจแ แแฃแจแแแแแก แแ แแแแแแแแแกแแแแก Bubblewrap 0.8, แ แแแแแแช แฉแแแฃแแแแ แแ แแแแแแงแแแแแ แแ แแแ แแแแแแแแ แแแฃแแ แแแแฎแแแ แแแแแแแก แแแแแแแแฃแแแฃแ แ แแแแแแแชแแแแแก แจแแกแแแฆแฃแแแ. แแ แแฅแขแแแแจแ, Bubblewrap แแแแแแงแแแแแ Flatpak แแ แแแฅแขแแก แแแแ , แ แแแแ แช แคแแแ แแแแแขแแแแแแ แแแจแแแแฃแแ แแแแแแแชแแแแแก แแแแแแ แแแแกแแแแก. แแ แแแฅแขแแก แแแแ แแแฌแแ แแแแ C-แจแ แแ แแแฌแแแแแแ LGPLv2+ แแแชแแแแแแ.
แแแแแแ แแแแกแแแแก แแแแแแงแแแแแ Linux แแแแขแแแแแ แแก แแแ แขแฃแแแแแแชแแแก แขแ แแแแชแแฃแแ แขแแฅแแแแแแแแแ, แ แแแแแแแช แแแคแฃแซแแแแฃแแแ cgroups, namespaces, Seccomp แแ SELinux-แแก แแแแแงแแแแแแแ. แแแแขแแแแแ แแก แแแแคแแแฃแ แแชแแแกแแแแก แแ แแแแแแแแ แแแฃแแ แแแแ แแชแแแแแก แจแแกแแกแ แฃแแแแแแ, Bubblewrap แแฎแกแแแแ root แฃแคแแแแแแแ (แจแแกแ แฃแแแแแแ แคแแแแ suid แแ แแจแแ) แแ แจแแแแแ แแฆแแแแแแก แแ แแแแแแแแแแก แแแแขแแแแแ แแก แแแแชแแแแแแแชแแแก แจแแแแแ.
แแแแฎแแแ แแแแแก แกแแฎแแแแ แกแแแ แชแแก แแแแฅแขแแฃแ แแแ แกแแฎแแแแ แกแแแ แชแแก แกแแกแขแแแแจแ, แ แแแแแแช แกแแจแฃแแแแแแก แแแซแแแแ แแแแแแงแแแแ แกแแแฃแแแ แ แชแแแแแฃแแ แแแแแขแแคแแแแขแแ แแแแก แแแแ แแแ แแแแขแแแแแ แแแจแ, แแ แแ แแก แกแแญแแ แ แแแแ แแชแแแกแแแแก, แ แแแแแ แแก แแ แแฃแจแแแแก แแแแฃแแแกแฎแแแแแ แแแแ แแแกแขแ แแแฃแชแแแจแ (Bubblewrap แแแแแชแแแแแ แแแฃแแแ แ แแแแ แช แจแแแฆแฃแแฃแแ suid แแแแฎแแ แชแแแแแแ. แแแแฎแแแ แแแแแก แกแแฎแแแแ แกแแแ แชแแก แจแแกแแซแแแแแแแแแแก แฅแแแฏแแฃแคแ - แแแแฎแแแ แแแแแก แแ แแ แแชแแกแแก แงแแแแ แแแแแขแแคแแแแขแแ แแก แแแ แแแแแแ แแแแแกแแ แแชแฎแแ, แแแ แแ แแแแแแแแแแแแกแ, แแแแแแงแแแแแ CLONE_NEWUSER แแ CLONE_NEWPID แ แแแแแแแ). แแแแแขแแแแแ แแแชแแแกแแแแก, Bubblewrap-แแก แฅแแแจ แจแแกแ แฃแแแแฃแแ แแ แแแ แแแแแ แแแจแแแแฃแแแ PR_SET_NO_NEW_PRIVS แ แแแแแจแ, แ แแช แแ แซแแแแแก แแฎแแแ แแ แแแแแแแแแแแก แแแฆแแแแก, แแแแแแแแแ, แแฃ แแ แกแแแแแก setuid flag.
แคแแแแฃแ แ แกแแกแขแแแแก แแแแแแ แแแแแแชแแ แแแแฆแฌแแแ แแแแฃแแแกแฎแแแแแ แแฎแแแ แกแแแแแขแแแ แกแแฎแแแแแแก แกแแแ แชแแก แจแแฅแแแแ, แ แแแแแจแแช แแฅแแแแแ แชแแ แแแแ root แแแแแงแแคแ tmpfs-แแก แแแแแงแแแแแแ. แกแแญแแ แแแแแก แจแแแแฎแแแแแจแ, แแแ แ FS แขแแฎแ แแแ แแแแแแ แแแฃแแแ แแ แแแแแงแแคแแ โmount โbindโ แ แแแแแจแ (แแแแแแแแแ, โbwrap โro-bind /usr /usrโ แแคแชแแแ แแแจแแแแแกแแก, /usr แแแแแงแแคแ แแแแแแแแแแแแแ แซแแ แแแแแ แกแแกแขแแแแแแ. แแฎแแแแ แฌแแแแแฎแแแก แ แแแแแจแ). แฅแกแแแแก แจแแกแแซแแแแแแแแแ แจแแแแแคแแ แแแแแ แแแ แงแฃแแแก แแแขแแ แคแแแกแแ แฌแแแแแแ แฅแกแแแแก แกแขแแแแก แแแแแแชแแแ CLONE_NEWNET แแ CLONE_NEWUTS แแ แแจแแแแ.
แแกแแแแกแ Firejail แแ แแแฅแขแแกแแแ แแแแแแ แ แแแแกแฎแแแแแแ, แ แแแแแแช แแกแแแ แแงแแแแแก setuid แแแจแแแแแก แแแแแแก, แแ แแก แแก, แ แแ Bubblewrap-แจแ แแแแขแแแแแ แแก แจแแฅแแแแก แคแแแ แแแแชแแแก แแฎแแแแ แแฃแชแแแแแแ แแแแแแแแฃแ แจแแกแแซแแแแแแแแแก แแ แงแแแแ แแแฌแแแแแ แคแฃแแฅแชแแแก, แ แแแแแแช แแฃแชแแแแแแแแ แแ แแคแแแฃแแ แแแแแแแชแแแแแก แแแกแแจแแแแแ, แแแกแแขแแแแแ แแแขแแ แแฅแชแแแกแ แแ แคแแแขแ แแชแแแก แแแแฎแแแแแแแกแแแแก. Pulseaudio-แแ, แแแแแแชแ Flatpak แแฎแแ แแก แแ แจแแกแ แฃแแแแฃแแแ แแ แแแแแแแแแแแก แแแแแขแแแ แแแแก แจแแแแแ. แแแแ แ แแฎแ แแ, Firejail แแแ แแแแแแแก แงแแแแ แแแแแแจแแ แแแฃแ แคแฃแแฅแชแแแก แแ แ แจแแกแ แฃแแแแแ แคแแแแจแ, แ แแช แแ แแฃแแแแก แแฃแแแขแก แแ แฃแกแแคแ แแฎแแแแแก แกแแแแแแแ แแแแแแ แจแแแแ แฉแฃแแแแแก.
แแฎแแ แแแแแชแแแแจแ:
- แแแแแแขแ "--disable-users" แแคแชแแ, แ แแแ แแแแแ แแแ แกแแแฃแแแ แ แฉแแแแแฃแแ แแแแฎแแแ แแแแแก แกแแฎแแแแแแก แกแแแ แชแแก แจแแฅแแแ sandbox แแแ แแแแจแ.
- แแแแแขแแแฃแแแ "--assert-userns-disabled" แแคแชแแ, แ แแแ แจแแแแแฌแแแก, แ แแ แแ แกแแแฃแแ แแแแฎแแแ แแแแแก ID แกแแแ แชแ แแแแแแงแแแแแ "--disable-userns" แแคแชแแแก แแแแแงแแแแแแกแแก.
- แแแ แแแจแ CONFIG_SECCOMP แแ CONFIG_SECCOMP_FILTER แแแ แแแแขแ แแแแก แแแแแ แแแแกแแแ แแแแแแจแแ แแแฃแแ แจแแชแแแแแก แจแแขแงแแแแแแแแแแก แกแแแแคแแ แแแชแแ แแแแขแแแขแ แแแแแแ แแ.
แฌแงแแ แ: opennet.ru