O se faʻasalalauga o meafaigaluega mo le faʻatulagaina o galuega o siosiomaga tuʻufua Bubblewrap 0.8 o loʻo avanoa, e masani ona faʻaaogaina e faʻatapulaʻa ai talosaga taʻitasi a tagata faʻaoga le faʻaogaina. I le faʻatinoga, o le Bubblewrap o loʻo faʻaaogaina e le Flatpak project e avea o se faʻavae e faʻamavae ai talosaga na faʻalauiloa mai afifi. O le fa'ailoga o le poloketi o lo'o tusia i le C ma fa'asoa i lalo ole laisene LGPLv2+.
Mo le fa'aesea, o lo'o fa'aogaina le fa'aogaina o tekonolosi fa'aonaponei o pusa fa'aleaganu'u, fa'avae i luga o le fa'aogaina o cgroups, namespaces, Seccomp ma SELinux. Ina ia fa'atino galuega fa'apitoa e fa'atulaga ai se atigipusa, e fa'alauiloa le Bubblewrap ma aia tatau a'a (se faila fa'atino ma se fu'a suid) ona toe fa'atūina ai lea o avanoa pe a uma ona amata le koneteina.
O le faʻagaoioia o igoa ole tagata i totonu ole igoa ole igoa, lea e mafai ai ona e faʻaogaina lau lava seti o faʻamatalaga i totonu o koneteina, e le manaʻomia mo le faʻaogaina, talu ai e le aoga i le tele o tufatufaga (Bubblewrap o loʻo faʻatulagaina o se faʻatapulaʻaina suid faʻatinoina o se vaega ole avanoa ole igoa ole tagata fa'aoga - e le aofia uma ai tagata fa'aoga ma fa'amatalaga fa'agasologa mai le si'osi'omaga, se'i vagana ai le mea o iai nei, o le CLONE_NEWUSER ma le CLONE_NEWPID o lo'o fa'aogaina). Mo puipuiga fa'aopoopo, o polokalame fa'atino i lalo ole Bubblewrap e fa'alauiloa ile PR_SET_NO_NEW_PRIVS mode, lea e fa'asa ai le mauaina o avanoa fou, mo se fa'ata'ita'iga, pe a iai le fu'a setuid.
O le fa'aesea i le tulaga faila faila e ausia e ala i le fatuina o se igoa ole mauga fou e ala i le faaletonu, lea e faia ai se vaeluaga o aʻa gaogao e faʻaaoga ai tmpfs. Afai e manaʻomia, o vaega fafo FS e faʻapipiʻi i lenei vaeluaga i le "mount-bind" mode (mo se faʻataʻitaʻiga, pe a faʻalauiloa ma le "bwrap -ro-bind / usr / usr" filifiliga, o le /usr partition e tuʻuina atu mai le faiga autu. i le faiga na'o le faitau). E fa'atapula'a le agava'a o feso'ota'iga i le fa'aogaina o feso'ota'iga i tua fa'atasi ma le fa'aesea o fa'aputuga feso'ota'iga e ala i fu'a CLONE_NEWNET ma CLONE_NEWUTS.
O le eseesega autu mai le poloketi tutusa Firejail, lea e faʻaaogaina ai foʻi le faʻataʻitaʻiga setuid, o le Bubblewrap o le faʻapipiʻiina o le atigipusa e aofia ai naʻo mea e manaʻomia maualalo, ma galuega faʻapitoa uma e manaʻomia mo le faʻaogaina o ata faʻataʻitaʻi, fegalegaleai ma le desktop ma le faʻamamaina o talosaga. i Pulseaudio, faʻafeiloaʻi i le itu Flatpak ma faʻataunuʻuina pe a uma ona toe faʻatulagaina avanoa. O le Firejail, i le isi itu, e tuʻufaʻatasia uma galuega faʻatatau i le tasi faila faila, lea e faigata ai ona suʻeina ma tausia le saogalemu i le tulaga talafeagai.
I le faʻasalalauga fou:
- Faʻaopoopo le "--disable-userns" filifiliga e faʻamalo ai le fausiaina o lona lava igoa faʻaoga faʻaoga i totonu o le pusa oneone.
- Fa'aopoopoina le filifiliga "--assert-userns-disabled" e siaki ai o lo'o fa'aogaina se avanoa ID fa'aoga o lo'o iai pe a fa'aogaina le filifiliga "--disable-userns".
- O fa'amatalaga fa'amatalaga o fe'au sese e feso'ota'i ma le fa'agata o le CONFIG_SECCOMP ma CONFIG_SECCOMP_FILTER fa'atulagaina i le fatu ua fa'ateleina.
puna: opennet.ru