fa'afou fou o le meafaigaluega , ua mamanuina e faŹ»atulaga ai galuega o siosiomaga tuŹ»ufua i totonu Linux ma fa'agaoioia i le tulaga o talosaga mo tagata fa'aoga e le'i fa'apitoa. I le fa'atinoina, e fa'aaogaina e le poloketi Flatpak le Bubblewrap o se vaega mo le vavae'eseina o talosaga na fa'alauiloa mai afifi. O le code a le poloketi e tusia i le C ma laiseneina ile LGPLv2+.
E fa'aaogaina mea masani mo le fa'amafanafanaga Linux tekinolosi fa'apitoa o koneteina e fa'avae i luga o le fa'aaogaina o cgroups, namespaces, Seccomp ma SELinuxMo le faŹ»atinoina o galuega faŹ»atulagaina o koneteina faŹ»apitoa, e tamoŹ»e le Bubblewrap ma faŹ»amanuiaga faŹ»avae (o le faila e mafai ona faŹ»atinoina ua faŹ»agaoioia le fuŹ»a suid) ona faŹ»aitiitia lea o faŹ»amanuiaga pe a maeŹ»a le faŹ»atulagaina o le koneteina.
O le faŹ»agaoioia o igoa faŹ»aoga i le igoa igoa, lea e mafai ai ona e faŹ»aogaina lau lava seti o faŹ»amatalaga i totonu o koneteina, e le manaŹ»omia mo le faŹ»aogaina, talu ai e le aoga i le tele o tufatufaga (Bubblewrap o loŹ»o faŹ»atulagaina o se faŹ»atapulaŹ»aina suid faŹ»atinoina o se vaega ole avanoa ole igoa ole tagata fa'aoga - e le aofia uma ai tagata fa'aoga ma fa'amatalaga fa'agasologa mai le si'osi'omaga, se'i vagana ai le mea o iai nei, o le CLONE_NEWUSER ma le CLONE_NEWPID o lo'o fa'aogaina). Mo puipuiga fa'aopoopo, e mafai ona fa'atinoina i lalo o le pule
O polokalame Bubblewrap e fa'alauiloa ile PR_SET_NO_NEW_PRIVS mode, lea e fa'asa ai le mauaina o avanoa fou, mo se fa'ata'ita'iga, pe a iai le fu'a setuid.
O le fa'aesea i le tulaga faila faila e ausia e ala i le fatuina o se igoa ole mauga fou e ala i le faaletonu, lea e faia ai se vaeluaga o aŹ»a gaogao e faŹ»aaoga ai tmpfs. Afai e manaŹ»omia, o vaega fafo FS e faŹ»apipiŹ»i i lenei vaeluaga i le "mount-bind" mode (mo se faŹ»ataŹ»itaŹ»iga, pe a faŹ»alauiloa ma le "bwrap -ro-bind / usr / usr" filifiliga, o le /usr partition e tuŹ»uina atu mai le faiga autu. i le faiga na'o le faitau). E fa'atapula'a le agava'a o feso'ota'iga i le fa'aogaina o feso'ota'iga i tua fa'atasi ma le fa'aesea o fa'aputuga feso'ota'iga e ala i fu'a CLONE_NEWNET ma CLONE_NEWUTS.
Autu ese'esega mai se galuega fa'apena , lea e faŹ»aaogaina ai foŹ»i se faŹ»ataŹ»itaŹ»iga setuid faŹ»alauiloa, o le Bubblewrap o le faŹ»avae o le fausiaina o pusa e aofia ai na o le manaŹ»omia aupito maualalo gafatia, ma galuega faŹ»apitoa uma e manaŹ»omia mo le faŹ»aogaina o faŹ»ataŹ»itaŹ»iga faŹ»ataŹ»itaŹ»iga, fegalegaleai ma le desktop ma le faŹ»amamaina o telefoni i Pulseaudio o loŹ»o tuŹ»uina atu i fafo Flatpak ma o loŹ»o faŹ»atinoina. pe a uma ona toe setiina avanoa. O le Falepuipui, i le isi itu, e tu'ufa'atasia uma galuega fa'atatau i se faila e tasi e mafai ona fa'atinoina, lea e faigata ai ona su'etusi ma tausia le saogalemu i luga. .
O le faŹ»asalalauga fou e lauiloa mo le faŹ»atinoina o le lagolago mo le faŹ»apipiŹ»iina o igoa ole tagata faŹ»aoga o loŹ»o iai ma faŹ»agasolo pid namespaces. Ina ia pulea le fesoŹ»otaŹ»iga o igoa, o le "--userns", "--userns2" ma le "-pidns" fuŹ»a ua faŹ»aopoopoina.
O lenei vaega e le galue i setuid mode ma manaŹ»omia le faŹ»aogaina o se isi auala e mafai ona galue e aunoa ma le mauaina o aia tatau, ae manaŹ»omia le faŹ»agaoioia.
avanoa igoa o tagata faŹ»aoga i totonu o le polokalama (ua faŹ»agata e ala i le faŹ»atulagaina i totonu o Debian ma RHEL/CentOS) ma e le fa'ate'aina ai le avanoa mo le "tagata fa'aoga igoa" fa'atapula'a rim. O foliga fou o le Bubblewrap 0.4 e aofia ai foŹ»i le mafai ona fausia ma le musl C faletusi nai lo le glibc ma le lagolago mo le faŹ»asaoina o faŹ»amatalaga igoa avanoa i se faila ma fuainumera i le JSON format.
puna: opennet.ru
