Fir Isolatioun ginn traditionell Linux Container Virtualiséierungstechnologien benotzt, baséiert op der Benotzung vu cgroups, namespaces, Seccomp an SELinux. Fir privilegiéiert Operatiounen auszeféieren fir e Container ze konfiguréieren, gëtt Bubblewrap mat Root-Rechter gestart (eng ausführbar Datei mat engem suid-Fändel) an setzt dann d'Privilegien zréck nodeems de Container initialiséiert ass.
Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces — для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением
Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.
Isolatioun um Dateisystemniveau gëtt erreecht andeems en neie Mount Nummraum als Standard erstallt gëtt, an deem eng eidel Root Partition mat tmpfs erstallt gëtt. Wann néideg, ginn extern FS-Partitionen un dës Partition am "mount —bind" Modus befestegt (zum Beispill, wann se mat der "bwrap -ro-bind /usr /usr" Optioun lancéiert ginn, gëtt d'/usr Partition vum Haaptsystem weidergeleet. am Liesmodus). Netzwierkfäegkeeten si limitéiert fir Zougang zu der Loopback Interface mat Netzwierkstackisolatioun iwwer d'CLONE_NEWNET an CLONE_NEWUTS Fändelen.
Schlëssel Ënnerscheed vun engem ähnleche Projet
Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги «—userns», «—userns2» и «—pidns».
Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации
user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность
Source: opennet.ru