علحدگيءَ لاءِ، روايتي لينڪس ڪنٽينر ورچوئلائيزيشن ٽيڪنالاجيون استعمال ڪيون وينديون آهن، جن جي بنياد تي cgroups، namespaces، Seccomp ۽ SELinux. ڪنٽينر کي ترتيب ڏيڻ لاءِ مراعات يافته عملن کي انجام ڏيڻ لاءِ، بلبل ريپ روٽ رائٽس سان شروع ڪيو ويو آهي (هڪ ايگزيڪيوٽيبل فائل هڪ سوڊ پرچم سان) ۽ پوءِ ڪنٽينر جي شروعات ٿيڻ کان پوءِ استحقاق ٻيهر سيٽ ڪري ٿو.
نالو اسپيس سسٽم ۾ يوزر نيمس اسپيسز کي چالو ڪرڻ، جيڪو توهان کي اجازت ڏئي ٿو ته توهان ڪنٽينر ۾ پنهنجو الڳ سڃاڻپ ڪندڙ سيٽ استعمال ڪري، آپريشن لاءِ گهربل ناهي، ڇاڪاڻ ته اهو ڪيترن ئي ڊسٽريبيوشنز ۾ ڊفالٽ طور ڪم نٿو ڪري. صارف جي نالي جي جڳھن جي صلاحيتن جو ذيلي سيٽ - ماحول مان سڀني صارف ۽ پروسيس جي سڃاڻپ ڪندڙ کي خارج ڪرڻ لاء، موجوده ھڪڙي کان سواء، CLONE_NEWUSER ۽ CLONE_NEWPID موڊس استعمال ڪيا ويا آھن). اضافي تحفظ لاء، ڪنٽرول هيٺ executable
Bubblewrap پروگرام شروع ڪيا ويا آهن PR_SET_NO_NEW_PRIVS موڊ ۾، جيڪي منع ڪن ٿا نوان استحقاق حاصل ڪرڻ، مثال طور، جيڪڏهن setuid پرچم موجود آهي.
فائيل سسٽم جي سطح تي اڪيلائي مڪمل ٿي ويندي آهي نئين ماؤنٽ نالي جي جاءِ ٺاهي ڊفالٽ، جنهن ۾ هڪ خالي روٽ ورهاڱي tmpfs استعمال ڪندي ٺاهي ويندي آهي. جيڪڏهن ضروري هجي ته، ٻاهرين FS ورهاڱي سان هن ورهاڱي سان ڳنڍيل آهن "مائونٽ -بائنڊ" موڊ ۾ (مثال طور، جڏهن "bwrap -ro-bind /usr /usr" اختيار سان شروع ڪيو وڃي، /usr ورهاڱي کي مکيه سسٽم کان اڳتي وڌايو ويندو آهي. صرف پڙهڻ واري موڊ ۾). نيٽ ورڪ صلاحيتون CLONE_NEWNET ۽ CLONE_NEWUTS جھنڊن ذريعي نيٽ ورڪ اسٽيڪ آئسوليشن سان لوپ بڪ انٽرفيس تائين رسائي تائين محدود آھن.
ساڳئي منصوبي کان اهم فرق
نئين رليز قابل ذڪر آهي سپورٽ جي عمل درآمد لاءِ موجوده يوزر نيمس اسپيسز ۾ شامل ٿيڻ ۽ پروسيس پِڊ نيمس اسپيس. نالا اسپيس جي ڪنيڪشن کي ڪنٽرول ڪرڻ لاءِ، ”--صارف“، ”--users2“ ۽ ”-pidns“ جھنڊا شامل ڪيا ويا آھن.
هي خصوصيت setuid موڊ ۾ ڪم نٿو ڪري ۽ هڪ الڳ موڊ جي استعمال جي ضرورت آهي جيڪا روٽ رائٽس حاصل ڪرڻ کان سواءِ ڪم ڪري سگهي ٿي، پر ان کي چالو ڪرڻ جي ضرورت آهي.
سسٽم تي صارف جي نالي جي جڳھ (ڊيبين ۽ RHEL/CentOS تي ڊفالٽ طور تي بند ٿيل) ۽ امڪان کي خارج نٿو ڪري
جو ذريعو: opennet.ru