Għall-iżolament, jintużaw teknoloġiji ta 'virtwalizzazzjoni tal-kontenituri Linux tradizzjonali, ibbażati fuq l-użu ta' cgroups, namespaces, Seccomp u SELinux. Biex twettaq operazzjonijiet privileġġjati biex jiġi kkonfigurat kontenitur, Bubblewrap jiġi mniedi bi drittijiet tal-għeruq (fajl eżekutibbli b'bandiera suid) u mbagħad jerġa 'jissettja l-privileġġi wara li l-kontenitur jiġi inizjalizzat.
Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces — для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением
Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.
L-iżolament fil-livell tas-sistema tal-fajls jitwettaq billi jinħoloq spazju tal-isem tal-muntaġġ ġdid b'mod awtomatiku, li fih tinħoloq partizzjoni tal-għeruq vojta bl-użu ta 'tmpfs. Jekk meħtieġ, diviżorji esterni FS huma mwaħħla ma’ din il-partizzjoni fil-modalità “mount —bind” (pereżempju, meta titnieda bl-għażla “bwrap —ro-bind /usr /usr”, il-partizzjoni /usr tintbagħat mis-sistema prinċipali fil-modalità ta’ qari biss). Il-kapaċitajiet tan-netwerk huma limitati għall-aċċess għall-interface loopback b'iżolament tal-munzell tan-netwerk permezz tal-bnadar CLONE_NEWNET u CLONE_NEWUTS.
Differenza ewlenija minn proġett simili
Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги «—userns», «—userns2» и «—pidns».
Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации
user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность
Sors: opennet.ru