സാൻഡ്‌ബോക്‌സ് ചെയ്‌ത പരിതസ്ഥിതികൾ സൃഷ്‌ടിക്കുന്നതിനുള്ള ബബിൾവ്‌റാപ്പ് 0.4.0, ലെയറുകളുടെ റിലീസ്

ലഭ്യമാണ് ടൂൾകിറ്റിൻ്റെ പുതിയ റിലീസ് ബബിൾ‌റാപ് 0.4.0, Linux-ലെ ഒറ്റപ്പെട്ട പരിതസ്ഥിതികളുടെ പ്രവർത്തനം സംഘടിപ്പിക്കുന്നതിനും പ്രത്യേകാവകാശമില്ലാത്ത ഉപയോക്താക്കളുടെ ആപ്ലിക്കേഷൻ തലത്തിൽ പ്രവർത്തിക്കുന്നതിനും രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നു. പ്രായോഗികമായി, Flatpak പ്രോജക്റ്റ് പാക്കേജുകളിൽ നിന്ന് സമാരംഭിക്കുന്ന ആപ്ലിക്കേഷനുകളെ ഒറ്റപ്പെടുത്തുന്നതിനുള്ള ഒരു പാളിയായി Bubblewrap ഉപയോഗിക്കുന്നു. പ്രോജക്റ്റ് കോഡ് സിയിലും എഴുതിയിരിക്കുന്നു വിതരണം ചെയ്തത് LGPLv2+ പ്രകാരം ലൈസൻസ്.

ഒറ്റപ്പെടലിനായി, cgroups, namespaces (namespaces), Seccomp, SELinux എന്നിവയുടെ ഉപയോഗത്തെ അടിസ്ഥാനമാക്കി പരമ്പരാഗത ലിനക്സ് കണ്ടെയ്‌നർ വിർച്ച്വലൈസേഷൻ സാങ്കേതികവിദ്യകൾ ഉപയോഗിക്കുന്നു. പ്രിവിലജഡ് കണ്ടെയ്‌നർ സജ്ജീകരണ പ്രവർത്തനങ്ങൾ നടത്താൻ, കണ്ടെയ്‌നർ ആരംഭിച്ചതിന് ശേഷമുള്ള പ്രത്യേകാവകാശങ്ങളുടെ പുനഃസജ്ജീകരണത്തോടൊപ്പം റൂട്ട് (suid ഫ്ലാഗ് ഉള്ള എക്‌സിക്യൂട്ടബിൾ ഫയൽ) ആയി Bubblewrap പ്രവർത്തിക്കുന്നു.

കണ്ടെയ്‌നറുകളിൽ നിങ്ങളുടേതായ പ്രത്യേക ഐഡൻ്റിഫയറുകൾ ഉപയോഗിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്ന നെയിംസ്‌പേസ് സിസ്റ്റത്തിൽ ഉപയോക്തൃ നെയിംസ്‌പെയ്‌സുകൾ സജീവമാക്കുന്നത് പ്രവർത്തനത്തിന് ആവശ്യമില്ല, കാരണം ഇത് പല വിതരണങ്ങളിലും സ്ഥിരസ്ഥിതിയായി പ്രവർത്തിക്കുന്നില്ല (ബബിൾവ്‌റാപ്പ് ഒരു പരിമിതമായ സ്യൂഡ് ഇംപ്ലിമെൻ്റേഷനായി സ്ഥാപിച്ചിരിക്കുന്നു. ഉപയോക്തൃ നെയിംസ്പേസ് കഴിവുകളുടെ ഉപസെറ്റ് - പരിസ്ഥിതിയിൽ നിന്ന് എല്ലാ ഉപയോക്തൃ, പ്രോസസ്സ് ഐഡൻ്റിഫയറുകളും ഒഴിവാക്കുന്നതിന്, നിലവിലുള്ളത് ഒഴികെ, CLONE_NEWUSER, CLONE_NEWPID മോഡുകൾ ഉപയോഗിക്കുന്നു). അധിക പരിരക്ഷയ്ക്കായി, നിയന്ത്രണത്തിൽ എക്സിക്യൂട്ടബിൾ
Bubblewrap പ്രോഗ്രാമുകൾ PR_SET_NO_NEW_PRIVS മോഡിൽ സമാരംഭിക്കുന്നു, ഇത് പുതിയ പ്രത്യേകാവകാശങ്ങൾ നേടുന്നത് തടയുന്നു, ഉദാഹരണത്തിന്, സെറ്റൂയിഡ് ഫ്ലാഗ് ഉണ്ടെങ്കിൽ.

ഡീഫോൾട്ടായി ഒരു പുതിയ മൗണ്ട് നെയിംസ്പേസ് സൃഷ്ടിച്ചാണ് ഫയൽസിസ്റ്റം തലത്തിൽ ഐസൊലേഷൻ ചെയ്യുന്നത്, അതിൽ tmpfs ഉപയോഗിച്ച് ഒരു ശൂന്യമായ റൂട്ട് പാർട്ടീഷൻ ഉണ്ടാക്കുന്നു. ആവശ്യമെങ്കിൽ, "മൌണ്ട് --ബൈൻഡ്" മോഡിൽ ഈ പാർട്ടീഷനിലേക്ക് ഒരു ബാഹ്യ എഫ്എസ് പാർട്ടീഷനുകൾ ഘടിപ്പിച്ചിരിക്കുന്നു (ഉദാഹരണത്തിന്, നിങ്ങൾ "bwrap --ro-bind /usr /usr" ഓപ്ഷൻ ഉപയോഗിച്ച് ഇത് ആരംഭിക്കുമ്പോൾ, /usr പാർട്ടീഷൻ പ്രധാന സിസ്റ്റത്തിൽ നിന്ന് റീഡ്-ഒൺലി മോഡിൽ ഫോർവേഡ് ചെയ്യുന്നു). CLONE_NEWNET, CLONE_NEWUTS ഫ്ലാഗുകൾ വഴി നെറ്റ്‌വർക്ക് സ്റ്റാക്ക് ഐസൊലേഷനോടുകൂടിയ ലൂപ്പ്ബാക്ക് ഇന്റർഫേസ് ആക്‌സസ് ചെയ്യാൻ നെറ്റ്‌വർക്കിംഗ് പരിമിതപ്പെടുത്തിയിരിക്കുന്നു.

സമാനമായ പ്രോജക്റ്റിൽ നിന്നുള്ള പ്രധാന വ്യത്യാസം ഫയർജയിൽ, ഒരു സെറ്റൂയിഡ് ലോഞ്ച് മോഡലും ഉപയോഗിക്കുന്നു, ബബിൾറാപ്പിൽ കണ്ടെയ്‌നർ സൃഷ്‌ടിക്കൽ ലെയറിൽ ആവശ്യമായ മിനിമം കഴിവുകൾ മാത്രമേ ഉൾപ്പെടുന്നുള്ളൂ, കൂടാതെ ഗ്രാഫിക്കൽ ആപ്ലിക്കേഷനുകൾ പ്രവർത്തിപ്പിക്കുന്നതിനും ഡെസ്‌ക്‌ടോപ്പുമായി ഇടപഴകുന്നതിനും Pulseaudio-യിലേക്കുള്ള കോളുകൾ ഫിൽട്ടർ ചെയ്യുന്നതിനും ആവശ്യമായ എല്ലാ നൂതന പ്രവർത്തനങ്ങളും ഫ്ലാറ്റ്‌പാക്ക് ഔട്ട്‌സോഴ്‌സ് ചെയ്‌ത് എക്‌സിക്യൂട്ട് ചെയ്യുന്നു. പ്രത്യേകാവകാശങ്ങൾ പുനഃസജ്ജമാക്കിയ ശേഷം. മറുവശത്ത്, ഫയർജയിൽ, ഒരു എക്സിക്യൂട്ടബിൾ ഫയലിൽ ബന്ധപ്പെട്ട എല്ലാ പ്രവർത്തനങ്ങളും സംയോജിപ്പിക്കുന്നു, ഇത് ഓഡിറ്റ് ചെയ്യുന്നതിനും സുരക്ഷ നിലനിർത്തുന്നതിനും ബുദ്ധിമുട്ടാക്കുന്നു. ശരിയായ തലത്തിൽ.

നിലവിലുള്ള ഉപയോക്തൃ നെയിംസ്‌പെയ്‌സുകളിലും പ്രോസസ്സ് പിഡ് നെയിംസ്‌പെയ്‌സുകളിലും ചേരുന്നതിനുള്ള പിന്തുണ നടപ്പിലാക്കുന്നതിന് പുതിയ പതിപ്പ് ശ്രദ്ധേയമാണ്. നെയിംസ്പേസുകളുടെ കണക്ഷൻ നിയന്ത്രിക്കുന്നതിന്, "--ഉപയോക്താക്കൾ", "--ഉപയോക്താക്കൾ2", "-pidns" എന്നീ ഫ്ലാഗുകൾ ചേർത്തു.
ഈ സവിശേഷത സെറ്റൂയിഡ് മോഡിൽ പ്രവർത്തിക്കില്ല, കൂടാതെ റൂട്ട് അവകാശങ്ങൾ നേടാതെ തന്നെ പ്രവർത്തിക്കാൻ കഴിയുന്ന ഒരു പ്രത്യേക മോഡിൻ്റെ ഉപയോഗം ആവശ്യമാണ്, എന്നാൽ സജീവമാക്കൽ ആവശ്യമാണ്
സിസ്റ്റത്തിലെ ഉപയോക്തൃ നെയിംസ്പേസുകൾ (Debian, RHEL/CentOS എന്നിവയിൽ സ്ഥിരസ്ഥിതിയായി അപ്രാപ്തമാക്കി) കൂടാതെ സാധ്യത ഒഴിവാക്കുന്നില്ല ചൂഷണം സാധ്യതയുള്ള അവശേഷിക്കുന്നു പരാധീനതകൾ "ഉപയോക്തൃ നെയിംസ്പേസുകൾ" നിയന്ത്രണങ്ങൾ റിം. Bubblewrap 0.4-ൻ്റെ പുതിയ സവിശേഷതകളിൽ glibc-ന് പകരം musl C ലൈബ്രറി ഉപയോഗിച്ച് നിർമ്മിക്കാനുള്ള കഴിവും JSON ഫോർമാറ്റിലുള്ള സ്ഥിതിവിവരക്കണക്കുകളുള്ള ഫയലിലേക്ക് നെയിംസ്പേസ് വിവരങ്ങൾ സംരക്ഷിക്കുന്നതിനുള്ള പിന്തുണയും ഉൾപ്പെടുന്നു.

അവലംബം: opennet.ru