Misy famoahana fitaovana handaminana ny asan'ny tontolo mitoka-monina Bubblewrap 0.8, matetika ampiasaina hamerana ny fampiharana tsirairay ataon'ireo mpampiasa tsy manana tombontsoa. Amin'ny fampiharana, Bubblewrap dia ampiasain'ny tetikasa Flatpak ho sosona hanasaraka ireo rindranasa natomboka tamin'ny fonosana. Ny fehezan-dalΓ na momba ny tetikasa dia voasoratra amin'ny C ary zaraina amin'ny alΓ lan'ny fahazoan-dΓ lana LGPLv2+.
Ho an'ny fitokanana dia ampiasaina ny teknolojia virtoaly container Linux nentim-paharazana, mifototra amin'ny fampiasana cgroups, namespaces, Seccomp ary SELinux. Mba hanaovana asa manan-danja amin'ny fanamboarana kaontenera, ny Bubblewrap dia atomboka miaraka amin'ny zon'ny faka (rakitra azo tanterahana miaraka amin'ny sainam-pirenena) ary avy eo dia mamerina ny tombontsoa aorian'ny fanombohana ny container.
Ny fampahavitrihana ny anaran'ny mpampiasa ao amin'ny rafitra namespace, izay ahafahanao mampiasa ny andiana famantarana manokana ao anaty kaontenera, dia tsy ilaina amin'ny fampandehanana, satria tsy mandeha amin'ny alΓ lan'ny default amin'ny fizarana maro (Bubblewrap dia napetraka ho fampiharana suid voafetra amin'ny a sobika amin'ny fahafahan'ny toeran'ny mpampiasa - hanilika ny mpampiasa rehetra sy ny famantarana ny fizotran'ny tontolo iainana, afa-tsy ny ankehitriny, ny maody CLONE_NEWUSER sy CLONE_NEWPID no ampiasaina). Ho fiarovana fanampiny dia atomboka amin'ny fomba PR_SET_NO_NEW_PRIVS ny programa vita amin'ny Bubblewrap, izay mandrara ny fahazoana tombontsoa vaovao, ohatra, raha misy ny saina setuid.
Ny fitokana-monina amin'ny haavon'ny rafi-drakitra dia vita amin'ny alΓ lan'ny famoronana espace mount vaovao amin'ny alΓ lan'ny default, izay misy fizarazarana fotony tsy misy dikany amin'ny fampiasana tmpfs. Raha ilaina dia ampifandraisina amin'ity fizarazarana ity ny fizarazarana FS ivelany amin'ny fomba "mount -bind" (ohatra, rehefa natomboka tamin'ny safidy "bwrap -ro-bind /usr /usr", ny fizarazarana /usr dia alefa avy amin'ny rafitra lehibe. amin'ny fomba vakiana fotsiny). Ny fahafahan'ny tambajotra dia voafetra ihany amin'ny fidirana amin'ny interface loopback miaraka amin'ny fitokanana amin'ny tambajotra amin'ny alΓ lan'ny saina CLONE_NEWNET sy CLONE_NEWUTS.
Ny fahasamihafana lehibe amin'ny tetikasa Firejail mitovy amin'izany, izay mampiasa ny modely fandefasana setuid ihany koa, dia ao amin'ny Bubblewrap ny sosona famoronana kaontenera dia tsy ahitana afa-tsy ny fahaiza-manao faran'izay kely indrindra ilaina, ary ny fiasa mandroso rehetra ilaina amin'ny fampandehanana rindranasa grafika, mifandray amin'ny desktop sy ny fangatahana sivana. mankany Pulseaudio, nafindra tany amin'ny lafiny Flatpak ary novonoina taorian'ny namerenana ny tombontsoa. Firejail, etsy ankilany, dia manambatra ny fiasa rehetra mifandraika amin'ny rakitra azo tanterahana, izay manasarotra ny fanaraha-maso sy ny fitazonana ny fiarovana amin'ny ambaratonga mety.
Ao amin'ny famoahana vaovao:
- Nampiana ny safidy "--disable-userns" hanesorana ny famoronana ny anaran'ny mpampiasa azy manokana ao amin'ny tontolon'ny sandbox.
- Nampiana safidy "--assert-userns-disabled" hanamarina fa misy habaka ID mpampiasa efa ampiasaina rehefa mampiasa ny safidy "--disable-userns".
- Nitombo ny votoatin'ny fampahalalana momba ny hafatra diso mifandraika amin'ny fanesorana ny fika CONFIG_SECCOMP sy CONFIG_SECCOMP_FILTER ao amin'ny kernel.
Source: opennet.ru