Dimissio instrumentorum ad opus ambitus solitarum Bubblewrap 0.8 ordinandum praesto est, solere ad singulas applicationes utentium inviolatarum restringere. In praxi, Bubblewrap a proiecto Flatpak adhibetur ut iacuit ad applicationes separatas e fasciculis deductis. In codice exertus scriptum est in C et sub LGPLv2+ licentia distribuitur.
Sololatio, traditionalis Linux continens virtualizationis technologias adhibentur, in usu cgroups, spatiis nominalibus, Seccomp et SELinux. Ad operationes privilegiatas ut vas configurandum, Bubblewrap cum iuribus radicibus (lima exsecutabile cum suid vexillo immittitur) ac deinde privilegia reponit post initialem receptam.
Activatio spatiorum usoris in spatio nominali, quod sinit utere tuo proprio numero identificantium in vasis, ad operationem non requiritur, quia non operatur per defaltam in multis distributionibus (Bubblewrap ponitur ut limitata suid exsecutio alicuius rei. subset usorum nominum facultatum - ad excludendum omnem usorem et processum identificantium e ambitu, praeter unum hodiernum, modi CLONE_NEWUSER et CLONE_NEWPID adhibentur). Pro additional tutela, programmata sub Bubblewrap exsecuta in modum PR_SET_NO_NEW_PRIVS immittuntur, qui vetat novis privilegiis acquirendis, exempli gratia, si vexillum setuidum praesens sit.
Solitudo in ordine tabellae efficitur novum spatium spatii per defaltam creando, in quo partitio vacua radix tmpfs utens creatur. Si opus est, partitiones externae FS huic partitioni in modum "montis -vinciae" coniunctae sunt (exempli gratia, cum optione "bwrap -ro -ro-bing /usr /usr" immissa, partitio /usr a principali systemate transmittitur. in read-tantum modum). Facultates retis limitantur ad accessum ad fasciculum interfaciei retis cum ACERVUS solitudo per vexilla CLONE_NEWNET et CLONE_NEWUTS.
Clavis differentia a simili project Firejail, quod etiam exemplar Lorem setuidum utitur, est quod in Bubblewrap continens tabulatum creationis solum necessarias facultates minimas includit, omnesque functiones provectas necessarias ad applicationes graphicas currentes, mutuo cum escritorio et eliquare petitiones. Pulseaudio, ad Flatpak latus translatum et post privilegiis reset. Firejail, autem, omnes functiones cognatas in uno documento exsecutabili coniungit, quod difficilem efficit ut audiat et securitatem in proprio gradu servet.
in nova emissione;
- Addidit optionem "--disable-usersorum" ut disable creationem nominis usoris sui nestri in spatio arenario in environment.
- Adiecit "--usores-debiles" optionem ad reprimendum quod usor existens ID spatii adhibetur cum optione "--disable-users" utens.
- Contenta nuntiis de errore nuntiantes inactivare CONFIG_SECCOMP et CONFIG_SECCOMP_FILTER occasus in nucleo auctum est.
Source: opennet.ru