الڳ ٿيل ماحول جي ڪم کي منظم ڪرڻ لاءِ اوزارن جو هڪ رليز بلبلورپ 0.8 موجود آهي، عام طور تي استعمال ڪيو ويندو آهي انفرادي ايپليڪيشنن کي محدود ڪرڻ لاءِ غير امتيازي استعمال ڪندڙن جي. عملي طور تي، Bubblewrap Flatpak پروجيڪٽ طرفان استعمال ڪيو ويندو آهي هڪ پرت جي طور تي پيڪيجز مان شروع ڪيل ايپليڪيشنن کي الڳ ڪرڻ لاء. پروجيڪٽ ڪوڊ C ۾ لکيل آهي ۽ LGPLv2+ لائسنس تحت ورهايو ويو آهي.
علحدگيءَ لاءِ، روايتي لينڪس ڪنٽينر ورچوئلائيزيشن ٽيڪنالاجيون استعمال ڪيون وينديون آهن، جن جي بنياد تي cgroups، namespaces، Seccomp ۽ SELinux. ڪنٽينر کي ترتيب ڏيڻ لاءِ مراعات يافته عملن کي انجام ڏيڻ لاءِ، بلبل ريپ روٽ رائٽس سان شروع ڪيو ويو آهي (هڪ ايگزيڪيوٽيبل فائل هڪ سوڊ پرچم سان) ۽ پوءِ ڪنٽينر جي شروعات ٿيڻ کان پوءِ استحقاق ٻيهر سيٽ ڪري ٿو.
نالو اسپيس سسٽم ۾ يوزر نيمس اسپيسز کي چالو ڪرڻ، جيڪو توهان کي اجازت ڏئي ٿو ته توهان ڪنٽينر ۾ پنهنجو الڳ سڃاڻپ ڪندڙ سيٽ استعمال ڪري، آپريشن لاءِ گهربل ناهي، ڇاڪاڻ ته اهو ڪيترن ئي ڊسٽريبيوشنز ۾ ڊفالٽ طور ڪم نٿو ڪري. صارف جي نالي جي جڳھن جي صلاحيتن جو ذيلي سيٽ - ماحول مان سڀني صارف ۽ پروسيس جي سڃاڻپ ڪندڙ کي خارج ڪرڻ لاء، موجوده ھڪڙي کان سواء، CLONE_NEWUSER ۽ CLONE_NEWPID موڊس استعمال ڪيا ويا آھن). اضافي تحفظ لاءِ، بلبل ريپ تحت جاري ڪيل پروگرام PR_SET_NO_NEW_PRIVS موڊ ۾ شروع ڪيا ويا آهن، جيڪي نون مراعات جي حصول کي منع ڪن ٿا، مثال طور، جيڪڏهن setuid پرچم موجود آهي.
فائيل سسٽم جي سطح تي اڪيلائي مڪمل ٿي ويندي آهي نئين ماؤنٽ نالي جي جاءِ ٺاهي ڊفالٽ، جنهن ۾ هڪ خالي روٽ ورهاڱي tmpfs استعمال ڪندي ٺاهي ويندي آهي. جيڪڏهن ضروري هجي ته، ٻاهرين FS ورهاڱي سان هن ورهاڱي سان ڳنڍيل آهن "مائونٽ -بائنڊ" موڊ ۾ (مثال طور، جڏهن "bwrap -ro-bind /usr /usr" اختيار سان شروع ڪيو وڃي، /usr ورهاڱي کي مکيه سسٽم کان اڳتي وڌايو ويندو آهي. صرف پڙهڻ واري موڊ ۾). نيٽ ورڪ صلاحيتون CLONE_NEWNET ۽ CLONE_NEWUTS جھنڊن ذريعي نيٽ ورڪ اسٽيڪ آئسوليشن سان لوپ بڪ انٽرفيس تائين رسائي تائين محدود آھن.
ساڳئي فائر جيل پروجيڪٽ مان اهم فرق، جيڪو پڻ سيٽيوڊ لانچ ماڊل استعمال ڪري ٿو، اهو آهي ته Bubblewrap ۾ ڪنٽينر ٺاھڻ واري پرت ۾ صرف ضروري گھٽ ۾ گھٽ صلاحيتون شامل آھن، ۽ گرافڪ ايپليڪيشنن کي هلائڻ لاء، ڊيسڪ ٽاپ سان رابطو ڪرڻ ۽ درخواستن کي فلٽر ڪرڻ لاء ضروري تمام جديد ڪم شامل آھن. پلساؤڊيو ڏانهن، فليٽپاڪ پاسي ڏانهن منتقل ڪيو ويو ۽ استحقاق بحال ٿيڻ کان پوء عمل ڪيو ويو. ٻئي طرف، فائر جيل، سڀني لاڳاپيل ڪمن کي هڪ قابل عمل فائل ۾ گڏ ڪري ٿو، جيڪو مناسب سطح تي آڊٽ ۽ سيڪيورٽي کي برقرار رکڻ ڏکيو بڻائي ٿو.
نئين رليز ۾:
- شامل ڪيو ويو "--disable-users" آپشن کي سينڊ باڪس ماحول ۾ ان جي پنهنجي نيسٽڊ يوزر نيمس اسپيس جي تخليق کي غير فعال ڪرڻ لاءِ.
- شامل ڪيو ويو "--assert-users-disabled" آپشن چيڪ ڪرڻ لاءِ ته "--disable-users" آپشن استعمال ڪندي موجوده يوزر آئي ڊي اسپيس استعمال ڪري ٿو.
- ڪرنل ۾ CONFIG_SECCOMP ۽ CONFIG_SECCOMP_FILTER سيٽنگن کي غير فعال ڪرڻ سان لاڳاپيل غلط پيغامن جي معلوماتي مواد کي وڌايو ويو آھي.
جو ذريعو: opennet.ru