الڳ ٿيل ماحول جي ڪم کي منظم ڪرڻ لاءِ اوزارن جو هڪ رليز بلبلورپ 0.6 موجود آهي، عام طور تي استعمال ڪيو ويندو آهي انفرادي ايپليڪيشنن کي محدود ڪرڻ لاءِ غير امتيازي استعمال ڪندڙن جي. عملي طور تي، Bubblewrap Flatpak پروجيڪٽ طرفان استعمال ڪيو ويندو آهي هڪ پرت جي طور تي پيڪيجز مان شروع ڪيل ايپليڪيشنن کي الڳ ڪرڻ لاء. پروجيڪٽ ڪوڊ C ۾ لکيل آهي ۽ LGPLv2+ لائسنس تحت ورهايو ويو آهي.
علحدگيءَ لاءِ، روايتي لينڪس ڪنٽينر ورچوئلائيزيشن ٽيڪنالاجيون استعمال ڪيون وينديون آهن، جن جي بنياد تي cgroups، namespaces، Seccomp ۽ SELinux. ڪنٽينر کي ترتيب ڏيڻ لاءِ مراعات يافته عملن کي انجام ڏيڻ لاءِ، بلبل ريپ روٽ رائٽس سان شروع ڪيو ويو آهي (هڪ ايگزيڪيوٽيبل فائل هڪ سوڊ پرچم سان) ۽ پوءِ ڪنٽينر جي شروعات ٿيڻ کان پوءِ استحقاق ٻيهر سيٽ ڪري ٿو.
نالو اسپيس سسٽم ۾ يوزر نيمس اسپيسز کي چالو ڪرڻ، جيڪو توهان کي اجازت ڏئي ٿو ته توهان ڪنٽينر ۾ پنهنجو الڳ سڃاڻپ ڪندڙ سيٽ استعمال ڪري، آپريشن لاءِ گهربل ناهي، ڇاڪاڻ ته اهو ڪيترن ئي ڊسٽريبيوشنز ۾ ڊفالٽ طور ڪم نٿو ڪري. صارف جي نالي جي جڳھن جي صلاحيتن جو ذيلي سيٽ - ماحول مان سڀني صارف ۽ پروسيس جي سڃاڻپ ڪندڙ کي خارج ڪرڻ لاء، موجوده ھڪڙي کان سواء، CLONE_NEWUSER ۽ CLONE_NEWPID موڊس استعمال ڪيا ويا آھن). اضافي تحفظ لاءِ، بلبل ريپ تحت جاري ڪيل پروگرام PR_SET_NO_NEW_PRIVS موڊ ۾ شروع ڪيا ويا آهن، جيڪي نون مراعات جي حصول کي منع ڪن ٿا، مثال طور، جيڪڏهن setuid پرچم موجود آهي.
فائيل سسٽم جي سطح تي اڪيلائي مڪمل ٿي ويندي آهي نئين ماؤنٽ نالي جي جاءِ ٺاهي ڊفالٽ، جنهن ۾ هڪ خالي روٽ ورهاڱي tmpfs استعمال ڪندي ٺاهي ويندي آهي. جيڪڏهن ضروري هجي ته، ٻاهرين FS ورهاڱي سان هن ورهاڱي سان ڳنڍيل آهن "مائونٽ -بائنڊ" موڊ ۾ (مثال طور، جڏهن "bwrap -ro-bind /usr /usr" اختيار سان شروع ڪيو وڃي، /usr ورهاڱي کي مکيه سسٽم کان اڳتي وڌايو ويندو آهي. صرف پڙهڻ واري موڊ ۾). نيٽ ورڪ صلاحيتون CLONE_NEWNET ۽ CLONE_NEWUTS جھنڊن ذريعي نيٽ ورڪ اسٽيڪ آئسوليشن سان لوپ بڪ انٽرفيس تائين رسائي تائين محدود آھن.
ساڳئي فائر جيل پروجيڪٽ مان اهم فرق، جيڪو پڻ سيٽيوڊ لانچ ماڊل استعمال ڪري ٿو، اهو آهي ته Bubblewrap ۾ ڪنٽينر ٺاھڻ واري پرت ۾ صرف ضروري گھٽ ۾ گھٽ صلاحيتون شامل آھن، ۽ گرافڪ ايپليڪيشنن کي هلائڻ لاء، ڊيسڪ ٽاپ سان رابطو ڪرڻ ۽ درخواستن کي فلٽر ڪرڻ لاء ضروري تمام جديد ڪم شامل آھن. پلساؤڊيو ڏانهن، فليٽپاڪ پاسي ڏانهن منتقل ڪيو ويو ۽ استحقاق بحال ٿيڻ کان پوء عمل ڪيو ويو. ٻئي طرف، فائر جيل، سڀني لاڳاپيل ڪمن کي هڪ قابل عمل فائل ۾ گڏ ڪري ٿو، جيڪو مناسب سطح تي آڊٽ ۽ سيڪيورٽي کي برقرار رکڻ ڏکيو بڻائي ٿو.
نئين رليز ۾:
- ميسن اسيمبلي سسٽم لاءِ سپورٽ شامل ڪئي وئي. Autotools سان تعمير لاءِ سپورٽ ھاڻي تائين برقرار رکي وئي آھي، پر مستقبل جي رليز ۾ ھٽائي ويندي.
- لاڳو ٿيل "-add-seccomp" اختيار هڪ کان وڌيڪ seccomp پروگرام شامل ڪرڻ لاءِ. هڪ ڊيڄاريندڙ شامل ڪيو ويو ته جيڪڏهن توهان وضاحت ڪريو "-seccomp" اختيار ٻيهر، صرف آخري پيٽرولر لاڳو ڪيو ويندو.
- گٽ مخزن ۾ ماسٽر برانچ جو نالو تبديل ڪيو ويو آهي مين.
- REUSE وضاحتن لاءِ جزوي سپورٽ شامل ڪئي وئي، جيڪا لائسنس ۽ ڪاپي رائيٽ جي معلومات جي وضاحت جي عمل کي متحد ڪري ٿي. ڪيتريون ئي ڪوڊ فائلون SPDX-لائسنس-سڃاڻپ ڪندڙ هيڊر شامل ڪيا ويا آهن. REUSE جي ھدايتن تي عمل ڪندي پاڻمرادو طئي ڪرڻ آسان بڻائي ٿو ته ايپليڪيشن ڪوڊ جي ڪھڙن حصن تي ڪهڙو لائسنس لاڳو ٿئي ٿو.
- ڪمانڊ لائن آرگيومينٽ ڪائونٽر (argc) جي قيمت کي جانچڻ شامل ڪيو ۽ لاڳو ڪيو ايمرجنسي ايگزٽ جيڪڏھن ڪائونٽر صفر آھي. تبديلي ۾ مدد ڪري ٿي بلاڪ سيڪيورٽي مسئلن جو سبب بڻيل ڪمانڊ لائن دليلن جي غلط هينڊلنگ جي ڪري، جهڙوڪ CVE-2021-4034 Polkit ۾.
جو ذريعو: opennet.ru