เบเบฒเบเบเปเบญเบเปเบเบทเปเบญเบเบกเบทเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบฑเบเบเบฑเปเบเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเบเบญเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบกเบเบตเปเปเบเบเบเปเบฝเบง Bubblewrap 0.8 เปเบกเปเบเบกเบตเบขเบนเป, เปเบเบเบเบปเบเบเบฐเบเบดเปเบฅเปเบงเปเบกเปเบเปเบเปเปเบเบทเปเบญเบเปเบฒเบเบฑเบเบเบฒเบเบเปเบฒเปเบเปเบชเปเบงเบเบเบธเบเบเบปเบเบเบญเบเบเบนเปเปเบเปเบเบตเปเบเปเปเบกเบตเบชเบดเบเบเบดเบเบดเปเบชเบ. เปเบเบเบฒเบเบเบฐเบเบดเบเบฑเบ, Bubblewrap เบเบทเบเบเปเบฒเปเบเปเปเบเบเปเบเบเบเบฒเบ Flatpak เปเบเบฑเบเบเบฑเปเบเปเบเบทเปเบญเปเบเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเบเบตเปเปเบเบตเบเบเบปเบงเบญเบญเบเบเบฒเบเปเบเบฑเบเปเบเบฑเบ. เบฅเบฐเบซเบฑเบเปเบเบเบเบฒเบเปเบกเปเบเบเบฝเบเปเบเบฑเบ C เปเบฅเบฐเบเบทเบเปเบเบเบขเบฒเบเบเบฒเบเปเบเปเปเบเบญเบฐเบเบธเบเบฒเบ LGPLv2+.
เบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบเบเบเปเบฝเบง, เปเบเบเปเบเปเบฅเบเบต virtualization container Linux เปเบเบเบเบฑเปเบเปเบเบตเบกเปเบกเปเบเบเบทเบเบเปเบฒเปเบเป, เบญเบตเบเปเบชเปเบเบฒเบเบเปเบฒเปเบเป cgroups, namespaces, Seccomp เปเบฅเบฐ SELinux. เปเบเบทเปเบญเบเบฐเบเบดเบเบฑเบเบเบฒเบเบเปเบฒเปเบเบตเบเบเบฒเบเบเบตเปเบกเบตเบชเบดเบเบเบดเบเบดเปเบชเบเปเบเบเบฒเบเบเปเบฒเบซเบเบปเบเบเปเบฒเบเบฑเบเบเบธ, Bubblewrap เบเบทเบเปเบเบตเบเบเบปเบงเบเปเบงเบเบชเบดเบเบเบดเบเบญเบเบฎเบฒเบ (เปเบเบฅเปเบเบตเปเบชเบฒเบกเบฒเบเบเบฐเบเบดเบเบฑเบเปเบเปเบเปเบงเบเบเบธเบ suid) เปเบฅเบฐเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเบฑเปเบเบชเบดเบเบเบดเบเบดเปเบชเบเปเบซเบกเปเบซเบผเบฑเบเบเบฒเบเบเปเบญเบเบเบฑเบเบเบธเบเบทเบเปเบฅเบตเปเบกเบเบปเปเบ.
เบเบฒเบเปเบเบตเบเปเบเป namespaces เบเบนเปเปเบเปเปเบเบฅเบฐเบเบปเบ namespace, เปเบเบดเปเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเปเบฒเบเปเบเปเบเบปเบงเบเปเบฒเบเบปเบเบเบฒเบเปเบเบเบเปเบฒเบเบซเบฒเบเบเบญเบเบเบปเบเปเบญเบเปเบ containers, เปเบกเปเบเบเปเปเบเปเบฒเปเบเบฑเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเปเบฒเปเบเบตเบเบเบฒเบ, เปเบเบทเปเบญเบเบเบฒเบเบงเปเบฒเบกเบฑเบเบเปเปเปเบฎเบฑเบเบงเบฝเบเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบเปเบเบซเบผเบฒเบเบเบฒเบเปเบเบเบขเบฒเบ (Bubblewrap เบเบทเบเบเบฑเบเปเบชเปเปเบเบฑเบเบเบฒเบเบเบฐเบเบดเบเบฑเบ suid เบเปเบฒเบเบฑเบเบเบญเบ a. เบเบธเบเบเปเบญเบเบเบญเบเบเบงเบฒเบกเบชเบฒเบกเบฒเบเปเบเบเบฒเบเบเบฑเปเบเบเบทเปเบเบนเปเปเบเป - เปเบเบทเปเบญเบเบปเบเปเบงเบฑเปเบเบเบปเบงเบฅเบฐเบเบธเบเบนเปเปเบเป เปเบฅเบฐเบเบฐเบเบงเบเบเบฒเบเบเบฑเบเปเบปเบเบเบฒเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบก, เบเบปเบเปเบงเบฑเปเบเบญเบฑเบเบเบฑเบเบเบธเบเบฑเบ, เปเปเบ CLONE_NEWUSER เปเบฅเบฐ CLONE_NEWPID เบเบทเบเปเบเป). เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบปเบเบเปเบญเบเปเบเบตเปเบกเปเบเบตเบก, เปเบเบฃเปเบเบฃเบกเบเบตเปเบเปเบฒเปเบเบตเบเบเบฒเบเบเบฒเบเปเบเป Bubblewrap เบเบฐเบเบทเบเปเบเบตเบเบเบปเบงเปเบเปเบซเบกเบ PR_SET_NO_NEW_PRIVS, เปเบเบดเปเบเบซเปเบฒเบกเบเบฒเบเปเบเปเบฎเบฑเบเบชเบดเบเบเบดเบเบดเปเบชเบเปเบซเบกเป, เบเบปเบงเบขเปเบฒเบ, เบเปเบฒเบกเบตเบเบธเบ setuid.
เบเบฒเบเปเบเบเบเปเบฝเบงเปเบเบฅเบฐเบเบฑเบเบฅเบฐเบเบปเบเปเบเบฅเปเปเบกเปเบเบชเปเบฒเปเบฅเบฑเบเปเบเบเบเบฒเบเบชเปเบฒเบ namespace mount เปเบซเบกเปเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ, เปเบเบเบฒเบเปเบเปเบเบเบฑเบเบฎเบฒเบเบเบตเปเบซเบงเปเบฒเบเปเบเบปเปเบฒเปเบกเปเบเบเบทเบเบชเปเบฒเบเบเบถเปเบเปเบเบเปเบเป tmpfs. เบเปเบฒเบเปเบฒเปเบเบฑเบ, เบเบฒเบเปเบเปเบเบเบฑเบ FS เบเบฒเบเบเบญเบเปเบกเปเบเบเบดเบเบเบฑเบเบเบฒเบเบดเบเบฑเบเบเบตเปเปเบเปเบซเบกเบ "mount โbind" (เบเบปเบงเบขเปเบฒเบ, เปเบกเบทเปเบญเปเบเบตเบเบเบปเบงเบเปเบงเบเบเบปเบงเปเบฅเบทเบญเบ "bwrap โro-bind / usr / usr", / usr partition เบเบฐเบเบทเบเบชเบปเปเบเบเปเปเบเบฒเบเบฅเบฐเบเบปเบเบเบปเปเบเบเป. เปเบโเบฎเบนเบโเปเบเบโเบเบฒเบโเบญเปเบฒเบโเปเบเบปเปเบฒโเบเบฑเปเบโ)โ. เบเบงเบฒเบกเบชเบฒเบกเบฒเบเบเบญเบเปเบเบทเบญเบเปเบฒเบเบเบทเบเบเบณเบเบฑเบเปเบซเปเปเบเบปเปเบฒเปเบเบดเบเบชเปเบงเบเบเบดเบเบเปเป loopback เบเปเบงเบเบเบฒเบเปเบเบเบเปเบฝเบงเปเบเบทเบญเบเปเบฒเบเบเปเบฒเบเบเบธเบ CLONE_NEWNET เปเบฅเบฐ CLONE_NEWUTS.
เบเบงเบฒเบกเปเบเบเบเปเบฒเบเบเบตเป เบชเบณ เบเบฑเบเบเบฒเบเปเบเบเบเบฒเบ Firejail เบเบตเปเบเปเบฒเบเบเบทเบเบฑเบ, เปเบเบดเปเบเบเบฑเบเปเบเปเบฎเบนเบเปเบเบเบเบฒเบเปเบเบตเบเบเบปเบง setuid, เปเบกเปเบเบงเปเบฒเปเบ Bubblewrap เบเบฑเปเบเบเบฒเบเบชเปเบฒเบเบเบนเปเบเบญเบเปเบเบเปเบเบตเบเบฐเบเบญเบเบกเบตเบเบฝเบเปเบเปเบเบงเบฒเบกเบชเบฒเบกเบฒเบเบเบฑเปเบเบเปเปเบฒเบเบตเปเบเปเบฒเปเบเบฑเบ, เปเบฅเบฐเบซเบเปเบฒเบเบตเปเบเปเบฒเบงเบซเบเปเบฒเบเบฒเบเบเปเบฒเบเบเบฑเบเบซเบกเบปเบเบเบตเปเบเปเบฒเปเบเบฑเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบฅเปเบเบเปเบฒเบฎเปเบญเบเบชเบฐเบซเบกเบฑเบเบเบฒเบเบดเบ, เบเบฒเบเปเบเปเบเบญเบเบเบฑเบ desktop เปเบฅเบฐเบเปเบฒเบฎเปเบญเบเบเปเบเบฒเบเบเบฑเปเบเบเบญเบ. เบเบฑเบ Pulseaudio, เปเบญเบเปเบเบซเบฒเบเปเบฒเบ Flatpak เปเบฅเบฐเบเบทเบเบเบฐเบเบดเบเบฑเบเบซเบผเบฑเบเบเบฒเบเบชเบดเบเบเบดเบเบดเปเบชเบเปเบเปเบเบทเบเบเบฑเปเบเบเบทเบเปเบซเบกเป. เปเบเบเบฒเบเบเบปเบเบเบฑเบเบเปเบฒเบก, Firejail เบฅเบงเบกเบเบธเบเบซเบเปเบฒเบเบตเปเบเบตเปเบเปเบฝเบงเบเปเบญเบเบขเบนเปเปเบเปเบเบฅเปเบเบตเปเบเบฐเบเบดเบเบฑเบเปเบเป, เปเบเบดเปเบเปเบฎเบฑเบเปเบซเปเบกเบฑเบเบเบฒเบเบเบตเปเบเบฐเบเบงเบเบชเบญเบเปเบฅเบฐเบฎเบฑเบเบชเบฒเบเบงเบฒเบกเบเบญเบเปเบเปเบเบฅเบฐเบเบฑเบเบเบตเปเปเบซเบกเบฒเบฐเบชเบปเบก.
เปเบเบเบฒเบเบเปเบญเบเปเบซเบกเป:
- ะะพะฑะฐะฒะปะตะฝะฐ ะพะฟัะธั ยซโdisable-usernsยป ะพัะบะปััะฐััะฐั ัะพะทะดะฐะฝะธะต ะฒ sandbox-ะพะบััะถะตะฝะธะธ ัะฒะพะตะณะพ ะฒะปะพะถะตะฝะฝะพะณะพ ะฟัะพัััะฐะฝััะฒะฐ ะธะดะตะฝัะธัะธะบะฐัะพัะพะฒ ะฟะพะปัะทะพะฒะฐัะตะปะตะน (user namespace).
- ะะพะฑะฐะฒะปะตะฝะฐ ะพะฟัะธั ยซโassert-userns-disabledยป ะดะปั ะฟัะพะฒะตัะบะธ, ััะพ ะฟัะธ ะธัะฟะพะปัะทะพะฒะฐะฝะธะธ ะพะฟัะธะธ ยป โdisable-usernsยป ะทะฐะดะตะนััะฒะพะฒะฐะฝะพ ัััะตััะฒัััะตะต ะฟัะพัััะฐะฝััะฒะพ ะธะดะตะฝัะธัะธะบะฐัะพัะพะฒ ะฟะพะปัะทะพะฒะฐัะตะปะตะน.
- ะะพะฒััะตะฝะฐ ะธะฝัะพัะผะฐัะธะฒะฝะพััั ัะพะพะฑัะตะฝะธะน ะพะฑ ะพัะธะฑะบะฐั , ัะฒัะทะฐะฝะฝัั ั ะพัะบะปััะตะฝะธะตะผ ะฒ ัะดัะต ะฝะฐัััะพะตะบ CONFIG_SECCOMP ะธ CONFIG_SECCOMP_FILTER.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru