ٽول کٽ جو نئون رليز لينڪس ۾ الڳ ٿيل ماحول جي ڪم کي منظم ڪرڻ ۽ غير مراعات يافته صارفين جي ايپليڪيشن جي سطح تي ڪم ڪرڻ لاء ٺهيل. عملي طور تي، Bubblewrap Flatpak پروجيڪٽ طرفان استعمال ڪيو ويندو آهي هڪ پرت جي طور تي پيڪيجز مان شروع ڪيل ايپليڪيشنن کي الڳ ڪرڻ لاء. پروجيڪٽ ڪوڊ C ۽ ۾ لکيل آهي LGPLv2+ تحت لائسنس يافته.
علحدگيءَ لاءِ، روايتي لينڪس ڪنٽينر ورچوئلائيزيشن ٽيڪنالاجيون استعمال ڪيون وينديون آهن، جن جي بنياد تي cgroups، namespaces، Seccomp ۽ SELinux. ڪنٽينر کي ترتيب ڏيڻ لاءِ مراعات يافته عملن کي انجام ڏيڻ لاءِ، بلبل ريپ روٽ رائٽس سان شروع ڪيو ويو آهي (هڪ ايگزيڪيوٽيبل فائل هڪ سوڊ پرچم سان) ۽ پوءِ ڪنٽينر جي شروعات ٿيڻ کان پوءِ استحقاق ٻيهر سيٽ ڪري ٿو.
نالو اسپيس سسٽم ۾ يوزر نيمس اسپيسز کي چالو ڪرڻ، جيڪو توهان کي اجازت ڏئي ٿو ته توهان ڪنٽينر ۾ پنهنجو الڳ سڃاڻپ ڪندڙ سيٽ استعمال ڪري، آپريشن لاءِ گهربل ناهي، ڇاڪاڻ ته اهو ڪيترن ئي ڊسٽريبيوشنز ۾ ڊفالٽ طور ڪم نٿو ڪري. صارف جي نالي جي جڳھن جي صلاحيتن جو ذيلي سيٽ - ماحول مان سڀني صارف ۽ پروسيس جي سڃاڻپ ڪندڙ کي خارج ڪرڻ لاء، موجوده ھڪڙي کان سواء، CLONE_NEWUSER ۽ CLONE_NEWPID موڊس استعمال ڪيا ويا آھن). اضافي تحفظ لاء، ڪنٽرول هيٺ executable
Bubblewrap پروگرام شروع ڪيا ويا آهن PR_SET_NO_NEW_PRIVS موڊ ۾، جيڪي منع ڪن ٿا نوان استحقاق حاصل ڪرڻ، مثال طور، جيڪڏهن setuid پرچم موجود آهي.
فائيل سسٽم جي سطح تي اڪيلائي مڪمل ٿي ويندي آهي نئين ماؤنٽ نالي جي جاءِ ٺاهي ڊفالٽ، جنهن ۾ هڪ خالي روٽ ورهاڱي tmpfs استعمال ڪندي ٺاهي ويندي آهي. جيڪڏهن ضروري هجي ته، ٻاهرين FS ورهاڱي سان هن ورهاڱي سان ڳنڍيل آهن "مائونٽ -بائنڊ" موڊ ۾ (مثال طور، جڏهن "bwrap -ro-bind /usr /usr" اختيار سان شروع ڪيو وڃي، /usr ورهاڱي کي مکيه سسٽم کان اڳتي وڌايو ويندو آهي. صرف پڙهڻ واري موڊ ۾). نيٽ ورڪ صلاحيتون CLONE_NEWNET ۽ CLONE_NEWUTS جھنڊن ذريعي نيٽ ورڪ اسٽيڪ آئسوليشن سان لوپ بڪ انٽرفيس تائين رسائي تائين محدود آھن.
ساڳئي منصوبي کان اهم فرق ، جيڪو پڻ سيٽيوڊ لانچ ماڊل استعمال ڪري ٿو، اهو آهي ته Bubblewrap ۾ ڪنٽينر ٺاهڻ واري پرت ۾ صرف ضروري گهٽ ۾ گهٽ صلاحيتون شامل آهن، ۽ گرافڪ ايپليڪيشنن کي هلائڻ، ڊيسڪ ٽاپ سان رابطو ڪرڻ ۽ فلٽرنگ ڪالن کي پلساؤڊيو کي فلٽر ڪرڻ لاء گهربل تمام ضروري افعال شامل آهن Flatpak ۽ ان تي عمل ڪيو ويو آهي. استحقاق بحال ٿيڻ کان پوء. ٻئي طرف، فائر جيل، سڀني لاڳاپيل ڪمن کي هڪ قابل عمل فائل ۾ گڏ ڪري ٿو، جنهن کي آڊٽ ڪرڻ ۽ سيڪيورٽي کي برقرار رکڻ ڏکيو بڻائي ٿو. .
نئين رليز قابل ذڪر آهي سپورٽ جي عمل درآمد لاءِ موجوده يوزر نيمس اسپيسز ۾ شامل ٿيڻ ۽ پروسيس پِڊ نيمس اسپيس. نالا اسپيس جي ڪنيڪشن کي ڪنٽرول ڪرڻ لاءِ، ”--صارف“، ”--users2“ ۽ ”-pidns“ جھنڊا شامل ڪيا ويا آھن.
هي خصوصيت setuid موڊ ۾ ڪم نٿو ڪري ۽ هڪ الڳ موڊ جي استعمال جي ضرورت آهي جيڪا روٽ رائٽس حاصل ڪرڻ کان سواءِ ڪم ڪري سگهي ٿي، پر ان کي چالو ڪرڻ جي ضرورت آهي.
سسٽم تي صارف جي نالي جي جڳھ (ڊيبين ۽ RHEL/CentOS تي ڊفالٽ طور تي بند ٿيل) ۽ امڪان کي خارج نٿو ڪري "صارف جي نالي جي جڳھ" جي پابنديون ريم لاء. Bubblewrap 0.4 جي نئين خاصيتن ۾ glibc جي بدران musl C لائبريري سان ٺاھڻ جي صلاحيت ۽ JSON فارميٽ ۾ شماريات سان گڏ فائل ۾ نالي جي جڳھ جي معلومات کي محفوظ ڪرڻ جي مدد شامل آھي.
جو ذريعو: opennet.ru