ការចេញផ្សាយ Bubblewrap 0.4.0 ដែលជាស្រទាប់សម្រាប់បង្កើតបរិស្ថានដាច់ដោយឡែក

មាន ការចេញផ្សាយថ្មីនៃប្រអប់ឧបករណ៍ ពពុះទឹក ០.៤.០រចនាឡើងដើម្បីរៀបចំការងារនៃបរិស្ថានដាច់ស្រយាលនៅក្នុងលីនុច និងដំណើរការនៅកម្រិតកម្មវិធីរបស់អ្នកប្រើប្រាស់ដែលគ្មានសិទ្ធិ។ នៅក្នុងការអនុវត្ត Bubblewrap ត្រូវបានប្រើដោយគម្រោង Flatpak ជាស្រទាប់មួយដើម្បីញែកកម្មវិធីដែលបានចាប់ផ្តើមចេញពីកញ្ចប់។ កូដគម្រោងត្រូវបានសរសេរជា C និង ចែកចាយ​ដោយ មានអាជ្ញាប័ណ្ណក្រោម LGPLv2+ ។

សម្រាប់ភាពឯកោ បច្ចេកវិទ្យានិម្មិតកុងតឺន័រលីនុចប្រពៃណីត្រូវបានប្រើ ដោយផ្អែកលើការប្រើប្រាស់ cgroups, namespaces, Seccomp និង SELinux ។ ដើម្បីអនុវត្តប្រតិបត្តិការដែលមានសិទ្ធិដើម្បីកំណត់រចនាសម្ព័ន្ធកុងតឺន័រ Bubblewrap ត្រូវបានបើកដំណើរការដោយមានសិទ្ធិជា root (ឯកសារដែលអាចប្រតិបត្តិបានជាមួយនឹងទង់ suid) ហើយបន្ទាប់មកកំណត់សិទ្ធិឡើងវិញបន្ទាប់ពីកុងតឺន័រត្រូវបានចាប់ផ្តើម។

ការធ្វើឱ្យសកម្មនៃ namespaces អ្នកប្រើប្រាស់នៅក្នុងប្រព័ន្ធ namespace ដែលអនុញ្ញាតឱ្យអ្នកប្រើសំណុំដាច់ដោយឡែកផ្ទាល់ខ្លួនរបស់អ្នកនៃការកំណត់អត្តសញ្ញាណនៅក្នុងកុងតឺន័រ មិនត្រូវបានទាមទារសម្រាប់ប្រតិបត្តិការទេព្រោះវាមិនដំណើរការតាមលំនាំដើមក្នុងការចែកចាយជាច្រើន (Bubblewrap ត្រូវបានដាក់ជាការអនុវត្ត suid មានកំណត់នៃ a សំណុំរងនៃសមត្ថភាពនៃចន្លោះឈ្មោះអ្នកប្រើប្រាស់ - ដើម្បីមិនរាប់បញ្ចូលអ្នកប្រើប្រាស់ និងដំណើរការកំណត់អត្តសញ្ញាណទាំងអស់ពីបរិស្ថាន លើកលែងតែទម្រង់បច្ចុប្បន្ន CLONE_NEWUSER និង CLONE_NEWPID ត្រូវបានប្រើ)។ សម្រាប់ការការពារបន្ថែម អាចប្រតិបត្តិបាននៅក្រោមការគ្រប់គ្រង
កម្មវិធី Bubblewrap ត្រូវបានបើកដំណើរការនៅក្នុងរបៀប PR_SET_NO_NEW_PRIVS ដែលហាមឃាត់ការទទួលបានសិទ្ធិថ្មី ឧទាហរណ៍ ប្រសិនបើទង់ setuid មានវត្តមាន។

ភាពឯកោនៅកម្រិតប្រព័ន្ធឯកសារត្រូវបានសម្រេចដោយបង្កើត mount namespace ថ្មីតាមលំនាំដើម ដែលក្នុងនោះភាគថាស root ទទេត្រូវបានបង្កើតដោយប្រើ tmpfs ។ បើចាំបាច់ ភាគថាស FS ខាងក្រៅត្រូវបានភ្ជាប់ទៅភាគថាសនេះនៅក្នុងរបៀប "ម៉ោន -bind" (ឧទាហរណ៍ នៅពេលបើកដំណើរការជាមួយជម្រើស "bwrap —ro-bind /usr /usr" ភាគថាស /usr ត្រូវបានបញ្ជូនបន្តពីប្រព័ន្ធមេ។ នៅក្នុងរបៀបបានតែអាន)។ សមត្ថភាពបណ្តាញត្រូវបានកំណត់ចំពោះការចូលប្រើចំណុចប្រទាក់រង្វិលជុំជាមួយនឹងភាពឯកោជង់បណ្តាញតាមរយៈទង់ CLONE_NEWNET និង CLONE_NEWUTS ។

ភាពខុសគ្នាសំខាន់ពីគម្រោងស្រដៀងគ្នា គុកភ្លើងដែលប្រើគំរូបើកដំណើរការ setuid ផងដែរគឺថានៅក្នុង Bubblewrap ស្រទាប់បង្កើតកុងតឺន័ររួមបញ្ចូលតែសមត្ថភាពអប្បបរមាចាំបាច់ ហើយមុខងារកម្រិតខ្ពស់ទាំងអស់ដែលត្រូវការសម្រាប់ការដំណើរការកម្មវិធីក្រាហ្វិក អន្តរកម្មជាមួយផ្ទៃតុ និងត្រងការហៅទៅកាន់ Pulseaudio គឺជាប្រភពខាងក្រៅ Flatpak ហើយត្រូវបានប្រតិបត្តិ។ បន្ទាប់ពីសិទ្ធិត្រូវបានកំណត់ឡើងវិញ។ ម្យ៉ាងវិញទៀត Firejail រួមបញ្ចូលគ្នានូវមុខងារដែលពាក់ព័ន្ធទាំងអស់នៅក្នុងឯកសារដែលអាចប្រតិបត្តិបាន ដែលធ្វើឱ្យវាពិបាកក្នុងការធ្វើសវនកម្ម និងរក្សាសុវត្ថិភាពនៅលើ នៅកម្រិតត្រឹមត្រូវ។.

ការចេញផ្សាយថ្មីគឺគួរឱ្យកត់សម្គាល់សម្រាប់ការអនុវត្តការគាំទ្រសម្រាប់ការចូលរួមជាមួយ namespaces អ្នកប្រើប្រាស់ដែលមានស្រាប់ និងដំណើរការ pid namespaces ។ ដើម្បីគ្រប់គ្រងការតភ្ជាប់នៃ namespaces ទង់ "--users", "--users2" និង "-pidns" ត្រូវបានបន្ថែម។
មុខងារនេះមិនដំណើរការក្នុងទម្រង់ setuid ហើយតម្រូវឱ្យប្រើរបៀបដាច់ដោយឡែកដែលអាចដំណើរការដោយមិនទទួលបានសិទ្ធិជា root ប៉ុន្តែតម្រូវឱ្យមានការធ្វើឱ្យសកម្ម
ចន្លោះឈ្មោះអ្នកប្រើប្រាស់នៅលើប្រព័ន្ធ (បិទតាមលំនាំដើមនៅលើ Debian និង RHEL/CentOS) ហើយមិនរាប់បញ្ចូលលទ្ធភាពនោះទេ។ ការកេងប្រវ័ញ្ច សក្តានុពល នៅសល់ ភាពងាយរងគ្រោះ សម្រាប់ការរឹតបន្តឹង "ចន្លោះឈ្មោះអ្នកប្រើប្រាស់" ។ លក្ខណៈពិសេសថ្មីនៃ Bubblewrap 0.4 ក៏រួមបញ្ចូលផងដែរនូវសមត្ថភាពក្នុងការបង្កើតជាមួយបណ្ណាល័យ musl C ជំនួសឱ្យ glibc និងការគាំទ្រសម្រាប់ការរក្សាទុកព័ត៌មានទំហំឈ្មោះទៅឯកសារដែលមានស្ថិតិក្នុងទម្រង់ JSON ។

ប្រភព: opennet.ru