د جلا شوي چاپیریال د کار تنظیم کولو لپاره د وسیلو خوشې کول د بلبل ریپ 0.8 شتون لري، معمولا د غیرمستقیم کاروونکو انفرادي غوښتنلیکونو محدودولو لپاره کارول کیږي. په عمل کې، بلبل ریپ د فلیټپیک پروژې لخوا د کڅوړو څخه پیل شوي غوښتنلیکونه جلا کولو لپاره د پرت په توګه کارول کیږي. د پروژې کوډ په C کې لیکل شوی او د LGPLv2+ جواز لاندې ویشل شوی.
د جلا کولو لپاره، دودیز لینکس کانټینر مجازی کولو ټیکنالوژي کارول کیږي، د cgroups، نوم ځای، Seccomp او SELinux کارولو پر بنسټ. د کانټینر تنظیم کولو لپاره د امتیازي عملیاتو ترسره کولو لپاره ، بلبل ریپ د روټ حقونو سره پیل شوی (د سوډ بیرغ سره د اجرا وړ فایل) او بیا د کانټینر له پیل کیدو وروسته امتیازات بیا تنظیموي.
د نوم ځای سیسټم کې د کارن نوم ځایونو فعالول، کوم چې تاسو ته اجازه درکوي په کانټینرونو کې د خپل ځان د پیژندونکو جلا سیټ وکاروئ، د عملیاتو لپاره اړین ندي، ځکه چې دا په ډیری توزیعونو کې د ډیفالټ لخوا کار نه کوي (بلبلورپ د محدود سوډ پلي کولو په توګه موقعیت لري. د کارن نوم ځایونو وړتیاو فرعي سیټ - د چاپیریال څخه ټول کارونکي او پروسس پیژندونکي لرې کولو لپاره ، پرته له اوسني څخه ، CLONE_NEWUSER او CLONE_NEWPID حالتونه کارول کیږي). د اضافي محافظت لپاره ، د بلبل ریپ لاندې اجرا شوي برنامې په PR_SET_NO_NEW_PRIVS حالت کې پیل شوي ، کوم چې د نوي امتیازاتو ترلاسه کول منع کوي ، د مثال په توګه ، که چیرې د سیټیوډ بیرغ شتون ولري.
د فایل سیسټم په کچه جلا کول د ډیفالټ په واسطه د نوي ماونټ نوم ځای په رامینځته کولو سره سرته رسیدلی ، په کوم کې چې د tmpfs په کارولو سره د روټ خالي برخه رامینځته کیږي. که اړتیا وي، بهرنۍ FS برخې د دې برخې سره په "ماونټ - باند" حالت کې تړل کیږي (د مثال په توګه، کله چې د "bwrap -ro-bind /usr /usr" اختیار سره پیل شي، د /usr ویش د اصلي سیسټم څخه لیږل کیږي. یوازې د لوستلو حالت کې). د شبکې وړتیاوې د CLONE_NEWNET او CLONE_NEWUTS بیرغونو له لارې د شبکې سټیک انزوا سره لوپ بیک انٹرفیس ته لاسرسي پورې محدود دي.
د ورته فائرجیل پروژې څخه کلیدي توپیر ، کوم چې د سیټیوډ لانچ ماډل هم کاروي ، دا دی چې په ببلورپ کې د کانټینر رامینځته کولو پرت کې یوازې اړین لږترلږه وړتیاوې شاملې دي ، او ټول پرمختللي فعالیتونه د ګرافیکي غوښتنلیکونو چلولو لپاره اړین دي ، د ډیسټاپ سره متقابل عمل او د فلټر کولو غوښتنې. پلسودیو ته، د فلیټپاک لوري ته لیږدول شوی او د امتیازاتو له بیا تنظیمولو وروسته اعدام شوی. فائرجیل، له بلې خوا، ټولې اړونده دندې په یوه اجرایوي فایل کې یوځای کوي، کوم چې په مناسبه کچه د امنیت پلټنه او ساتل ستونزمن کوي.
په نوې خپرونه کې:
- د سینڈ باکس چاپیریال کې د خپل نیست شوي کارونکي نوم ځای رامینځته کولو غیر فعالولو لپاره د "-- غیر فعال کارونکي" اختیار اضافه کړ.
- د "--assert-users-disabled" اختیار اضافه شوی ترڅو وګوري چې د "--disable-users-users" اختیار کارولو په وخت کې د موجوده کارن ID ځای کارول کیږي.
- په کرنل کې د CONFIG_SECCOMP او CONFIG_SECCOMP_FILTER ترتیبات غیر فعال کولو پورې اړوند د غلطۍ پیغامونو معلوماتي مینځپانګه زیاته شوې.
سرچینه: opennet.ru