ਆਈਸੋਲੇਸ਼ਨ ਲਈ, cgroups, ਨੇਮਸਪੇਸ, Seccomp ਅਤੇ SELinux ਦੀ ਵਰਤੋਂ ਦੇ ਅਧਾਰ ਤੇ, ਰਵਾਇਤੀ ਲੀਨਕਸ ਕੰਟੇਨਰ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਤਕਨਾਲੋਜੀਆਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇੱਕ ਕੰਟੇਨਰ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਾਰਵਾਈਆਂ ਕਰਨ ਲਈ, ਬਬਲਵਰੈਪ ਨੂੰ ਰੂਟ ਰਾਈਟਸ (ਸੂਡ ਫਲੈਗ ਵਾਲੀ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ) ਨਾਲ ਲਾਂਚ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਫਿਰ ਕੰਟੇਨਰ ਦੇ ਸ਼ੁਰੂ ਹੋਣ ਤੋਂ ਬਾਅਦ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਰੀਸੈਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces — для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением
Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.
ਫਾਇਲ ਸਿਸਟਮ ਪੱਧਰ 'ਤੇ ਆਈਸੋਲੇਸ਼ਨ ਨੂੰ ਮੂਲ ਰੂਪ ਵਿੱਚ ਇੱਕ ਨਵਾਂ ਮਾਊਂਟ ਨੇਮਸਪੇਸ ਬਣਾ ਕੇ ਪੂਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ tmpfs ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਖਾਲੀ ਰੂਟ ਭਾਗ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਲੋੜ ਹੋਵੇ, ਬਾਹਰੀ FS ਭਾਗ ਇਸ ਭਾਗ ਨਾਲ “mount —bind” ਮੋਡ ਵਿੱਚ ਜੁੜੇ ਹੁੰਦੇ ਹਨ (ਉਦਾਹਰਨ ਲਈ, ਜਦੋਂ “bwrap —ro-bind /usr/usr” ਵਿਕਲਪ ਨਾਲ ਲਾਂਚ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ /usr ਭਾਗ ਨੂੰ ਮੁੱਖ ਸਿਸਟਮ ਤੋਂ ਅੱਗੇ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ। ਸਿਰਫ਼-ਪੜ੍ਹਨ ਦੇ ਮੋਡ ਵਿੱਚ)। ਨੈੱਟਵਰਕ ਸਮਰੱਥਾਵਾਂ CLONE_NEWNET ਅਤੇ CLONE_NEWUTS ਫਲੈਗ ਦੁਆਰਾ ਨੈੱਟਵਰਕ ਸਟੈਕ ਆਈਸੋਲੇਸ਼ਨ ਦੇ ਨਾਲ ਲੂਪਬੈਕ ਇੰਟਰਫੇਸ ਤੱਕ ਪਹੁੰਚ ਤੱਕ ਸੀਮਿਤ ਹਨ।
ਇੱਕ ਸਮਾਨ ਪ੍ਰੋਜੈਕਟ ਤੋਂ ਮੁੱਖ ਅੰਤਰ
Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги «—userns», «—userns2» и «—pidns».
Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации
user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность
ਸਰੋਤ: opennet.ru