soo saarista cusub ee qalabka xidhitaanka , oo loogu talagalay in lagu abaabulo jawi go'doonsan oo ku yaal Linux waxayna ku shaqeysaa heerka codsiga isticmaalayaasha aan mudnaanta lahayn. Dhab ahaantii, Bubblewrap waxaa u adeegsada mashruuca Flatpak sidii lakab lagu kala sooco codsiyada laga soo bilaabo xirmooyinka. Koodhka mashruuca waxaa lagu qoray C iyo shatiga LGPLv2+.
Go'doominta, tignoolajiyada wax-ka-qabashada weelka caadiga ah ee Linux ayaa loo isticmaalaa, iyadoo lagu saleynayo adeegsiga koox-kooxeedyada, meelaha magacyadooda, Seccomp iyo SELinux. Si loo sameeyo hawlgallo mudnaan leh si loo habeeyo weelka, Bubblewrap waxaa lagu bilaabay xuquuqaha xididka (faylka la fulin karo oo leh calan suid ah) ka dibna dib u dajinta mudnaanta ka dib marka weelka la bilaabo.
Ka shaqeynta meelaha magaca isticmaalaha ee nidaamka, kaas oo u oggolaanaya weelasha inay isticmaalaan aqoonsiyadooda gaarka ah, looma baahna hawlgalka, maadaama aysan si caadi ah ugu shaqeynin qaybinta badan (Bubblewrap waxaa loo meeleeyay sidii fulin xaddidan oo suid ah oo ka mid ah awoodaha goobaha magaca isticmaalaha - qaababka CLONE_NEWUSER iyo CLONE_NEWPID waxaa loo isticmaalaa in laga saaro dhammaan aqoonsiga isticmaalaha iyo habka deegaanka marka laga reebo kan hadda jira). Ilaalin dheeraad ah, kuwa la fulin karo ee hoos yimaada
Barnaamijyada Bubblewrap waxay ku shaqeeyaan qaabka PR_SET_NO_NEW_PRIVS, kaas oo mamnuucaya helitaanka mudnaanta cusub, tusaale ahaan, haddii calanka setuid uu jiro.
Go'doominta heerka nidaamka faylka waxaa lagu dhammeeyaa iyadoo la abuurayo magac cusub oo buur ah oo asal ah, kaas oo qayb xidid madhan la abuuray iyadoo la adeegsanayo tmpfs. Haddii loo baahdo, qaybaha FS ee dibadda ayaa ku lifaaqan qaybtan qaabka "Mount -bind" (tusaale ahaan, marka lagu bilaabo xulashada "bwrap -ro-bind / usr / usr", qaybta / usr waxaa laga soo gudbiyaa nidaamka ugu muhiimsan qaabka akhris-kaliya). Awoodaha shabakadu waxay ku xaddidan yihiin gelitaanka interface-ka loopback oo leh go'doon xirmo shabakadeed iyada oo la adeegsanayo calamada CLONE_NEWNET iyo CLONE_NEWUTS.
Farqiga ugu muhiimsan ee ka dhexeeya mashruuc la mid ah , oo sidoo kale adeegsata qaab bilow ah, ayaa ah in Bubblewrap, lakabka abuurista weelka uu ku jiro oo keliya awoodaha ugu yar, halka dhammaan hawlaha horumarsan ee looga baahan yahay socodsiinta codsiyada garaafyada, la falgalka desktop-ka, iyo shaandhaynta wicitaanada Pulseaudio loo soo bandhigo Flatpak oo la fuliyo ka dib marka mudnaanta la iska daayo. Dhanka kale, Firejail wuxuu isku daraa dhammaan hawlaha la xiriira hal fulin oo keliya, taasoo adkeyneysa in la baaro oo la ilaaliyo amniga. .
Soo saarista cusub waxay caan ku tahay taageerada ay u leedahay ku lifaaqida meelaha magaca isticmaalaha ee jira iyo aqoonsiga habka (pid namespaces). Calanka "--usersns," "--usersns2," iyo "--pidns" ayaa lagu daray si loo xakameeyo lifaaqa namespace.
Habkani ma shaqeeyo qaabka setuid wuxuuna u baahan yahay isticmaalka qaab gaar ah, kaas oo shaqayn kara iyada oo aan la helin xuquuqda xididka, laakiin wuxuu u baahan yahay firfircooni
goobaha magaca isticmaalaha ee nidaamka (waxaa lagu curyaamiyay si caadi ah Debian iyo RHEL/CentOS) mana ka saarayso suurtagalnimada si looga gudbo xayiraadaha "isticmaalaha magacyada goobaha". Astaamaha cusub ee Bubblewrap 0.4 waxaa sidoo kale ka mid ah awoodda lagu dhisayo maktabadda musl C halkii laga isticmaali lahaa glibc iyo taageerada kaydinta macluumaadka goobta magacyada faylka tirakoobka JSON.
Source: opennet.ru
