ಬಬಲ್‌ವ್ರ್ಯಾಪ್ 0.8 ಬಿಡುಗಡೆ, ಪ್ರತ್ಯೇಕ ಪರಿಸರವನ್ನು ರಚಿಸಲು ಒಂದು ಪದರ

ಪ್ರತ್ಯೇಕ ಪರಿಸರದ ಕೆಲಸವನ್ನು ಸಂಘಟಿಸಲು ಪರಿಕರಗಳ ಬಿಡುಗಡೆಯು Bubblewrap 0.8 ಲಭ್ಯವಿದೆ, ಸಾಮಾನ್ಯವಾಗಿ ಸವಲತ್ತು ಇಲ್ಲದ ಬಳಕೆದಾರರ ವೈಯಕ್ತಿಕ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಪ್ರಾಯೋಗಿಕವಾಗಿ, ಬಬಲ್‌ವ್ರ್ಯಾಪ್ ಅನ್ನು ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್ ಯೋಜನೆಯು ಪ್ಯಾಕೇಜುಗಳಿಂದ ಪ್ರಾರಂಭಿಸಲಾದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಪ್ರತ್ಯೇಕಿಸಲು ಪದರವಾಗಿ ಬಳಸುತ್ತದೆ. ಪ್ರಾಜೆಕ್ಟ್ ಕೋಡ್ ಅನ್ನು C ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು LGPLv2+ ಪರವಾನಗಿ ಅಡಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗಿದೆ.

ಪ್ರತ್ಯೇಕತೆಗಾಗಿ, cgroups, namespaces, Seccomp ಮತ್ತು SELinux ಬಳಕೆಯನ್ನು ಆಧರಿಸಿ ಸಾಂಪ್ರದಾಯಿಕ ಲಿನಕ್ಸ್ ಕಂಟೇನರ್ ವರ್ಚುವಲೈಸೇಶನ್ ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಧಾರಕವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಸವಲತ್ತು ಪಡೆದ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ನಿರ್ವಹಿಸಲು, ಮೂಲ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಬಬಲ್‌ವ್ರ್ಯಾಪ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗುತ್ತದೆ (ಸೂಯಿಡ್ ಫ್ಲ್ಯಾಗ್‌ನೊಂದಿಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್) ಮತ್ತು ನಂತರ ಕಂಟೇನರ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದ ನಂತರ ಸವಲತ್ತುಗಳನ್ನು ಮರುಹೊಂದಿಸುತ್ತದೆ.

ನೇಮ್‌ಸ್ಪೇಸ್ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಬಳಕೆದಾರ ನೇಮ್‌ಸ್ಪೇಸ್‌ಗಳ ಸಕ್ರಿಯಗೊಳಿಸುವಿಕೆ, ಇದು ಕಂಟೈನರ್‌ಗಳಲ್ಲಿ ನಿಮ್ಮದೇ ಆದ ಪ್ರತ್ಯೇಕ ಗುರುತಿಸುವಿಕೆಗಳನ್ನು ಬಳಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ, ಕಾರ್ಯಾಚರಣೆಗೆ ಅಗತ್ಯವಿಲ್ಲ, ಏಕೆಂದರೆ ಇದು ಅನೇಕ ವಿತರಣೆಗಳಲ್ಲಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ (ಬಬಲ್‌ವ್ರ್ಯಾಪ್ ಅನ್ನು ಸೀಮಿತ ಸೂಯ್ಡ್ ಅಳವಡಿಕೆಯಾಗಿ ಇರಿಸಲಾಗಿದೆ. ಬಳಕೆದಾರ ನೇಮ್‌ಸ್ಪೇಸ್ ಸಾಮರ್ಥ್ಯಗಳ ಉಪವಿಭಾಗ - ಪ್ರಸ್ತುತ ಒಂದನ್ನು ಹೊರತುಪಡಿಸಿ ಎಲ್ಲಾ ಬಳಕೆದಾರ ಮತ್ತು ಪ್ರಕ್ರಿಯೆ ಗುರುತಿಸುವಿಕೆಗಳನ್ನು ಪರಿಸರದಿಂದ ಹೊರಗಿಡಲು, CLONE_NEWUSER ಮತ್ತು CLONE_NEWPID ಮೋಡ್‌ಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ). ಹೆಚ್ಚುವರಿ ರಕ್ಷಣೆಗಾಗಿ, Bubblewrap ಅಡಿಯಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾದ ಪ್ರೋಗ್ರಾಂಗಳನ್ನು PR_SET_NO_NEW_PRIVS ಮೋಡ್‌ನಲ್ಲಿ ಪ್ರಾರಂಭಿಸಲಾಗುತ್ತದೆ, ಇದು ಹೊಸ ಸವಲತ್ತುಗಳನ್ನು ಪಡೆದುಕೊಳ್ಳುವುದನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ, ಉದಾಹರಣೆಗೆ, ಸೆಟ್ಯೂಡ್ ಫ್ಲ್ಯಾಗ್ ಇದ್ದರೆ.

ಡೀಫಾಲ್ಟ್ ಆಗಿ ಹೊಸ ಮೌಂಟ್ ನೇಮ್‌ಸ್ಪೇಸ್ ಅನ್ನು ರಚಿಸುವ ಮೂಲಕ ಫೈಲ್ ಸಿಸ್ಟಮ್ ಮಟ್ಟದಲ್ಲಿ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಸಾಧಿಸಲಾಗುತ್ತದೆ, ಇದರಲ್ಲಿ ಖಾಲಿ ರೂಟ್ ವಿಭಾಗವನ್ನು tmpfs ಬಳಸಿ ರಚಿಸಲಾಗುತ್ತದೆ. ಅಗತ್ಯವಿದ್ದರೆ, ಬಾಹ್ಯ FS ವಿಭಾಗಗಳನ್ನು ಈ ವಿಭಾಗಕ್ಕೆ “ಮೌಂಟ್ —ಬೈಂಡ್” ಮೋಡ್‌ನಲ್ಲಿ ಲಗತ್ತಿಸಲಾಗಿದೆ (ಉದಾಹರಣೆಗೆ, “bwrap —ro-bind /usr /usr” ಆಯ್ಕೆಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಿದಾಗ, /usr ವಿಭಾಗವನ್ನು ಮುಖ್ಯ ವ್ಯವಸ್ಥೆಯಿಂದ ಫಾರ್ವರ್ಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ಓದಲು-ಮಾತ್ರ ಕ್ರಮದಲ್ಲಿ). ನೆಟ್‌ವರ್ಕ್ ಸಾಮರ್ಥ್ಯಗಳು CLONE_NEWNET ಮತ್ತು CLONE_NEWUTS ಫ್ಲ್ಯಾಗ್‌ಗಳ ಮೂಲಕ ನೆಟ್‌ವರ್ಕ್ ಸ್ಟಾಕ್ ಪ್ರತ್ಯೇಕತೆಯೊಂದಿಗೆ ಲೂಪ್‌ಬ್ಯಾಕ್ ಇಂಟರ್ಫೇಸ್‌ಗೆ ಪ್ರವೇಶಿಸಲು ಸೀಮಿತವಾಗಿವೆ.

ಇದೇ ರೀತಿಯ ಫೈರ್‌ಜೈಲ್ ಪ್ರಾಜೆಕ್ಟ್‌ನಿಂದ ಪ್ರಮುಖ ವ್ಯತ್ಯಾಸವೆಂದರೆ, ಸೆಟ್ಯೂಡ್ ಉಡಾವಣಾ ಮಾದರಿಯನ್ನು ಸಹ ಬಳಸುತ್ತದೆ, ಬಬಲ್‌ವ್ರ್ಯಾಪ್‌ನಲ್ಲಿ ಕಂಟೇನರ್ ರಚನೆಯ ಪದರವು ಅಗತ್ಯವಾದ ಕನಿಷ್ಠ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿರುತ್ತದೆ ಮತ್ತು ಗ್ರಾಫಿಕಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಚಲಾಯಿಸಲು, ಡೆಸ್ಕ್‌ಟಾಪ್‌ನೊಂದಿಗೆ ಸಂವಹನ ಮಾಡಲು ಮತ್ತು ವಿನಂತಿಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು ಅಗತ್ಯವಿರುವ ಎಲ್ಲಾ ಸುಧಾರಿತ ಕಾರ್ಯಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. Pulseaudio ಗೆ, Flatpak ಬದಿಗೆ ವರ್ಗಾಯಿಸಲಾಯಿತು ಮತ್ತು ಸವಲತ್ತುಗಳನ್ನು ಮರುಹೊಂದಿಸಿದ ನಂತರ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ. ಫೈರ್‌ಜೈಲ್, ಮತ್ತೊಂದೆಡೆ, ಎಲ್ಲಾ ಸಂಬಂಧಿತ ಕಾರ್ಯಗಳನ್ನು ಒಂದು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ನಲ್ಲಿ ಸಂಯೋಜಿಸುತ್ತದೆ, ಇದು ಸರಿಯಾದ ಮಟ್ಟದಲ್ಲಿ ಆಡಿಟ್ ಮಾಡಲು ಮತ್ತು ಭದ್ರತೆಯನ್ನು ನಿರ್ವಹಿಸಲು ಕಷ್ಟಕರವಾಗಿಸುತ್ತದೆ.

ಹೊಸ ಬಿಡುಗಡೆಯಲ್ಲಿ:

  • Добавлена опция «—disable-userns» отключающая создание в sandbox-окружении своего вложенного пространства идентификаторов пользователей (user namespace).
  • Добавлена опция «—assert-userns-disabled» для проверки, что при использовании опции » —disable-userns» задействовано существующее пространство идентификаторов пользователей.
  • Повышена информативность сообщений об ошибках, связанных с отключением в ядре настроек CONFIG_SECCOMP и CONFIG_SECCOMP_FILTER.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ