Siideynta qalabka loogu talagalay abaabulka shaqada deegaanka go'doonsan Bubblewrap 0.6 waa la heli karaa, badanaa waxaa loo isticmaalaa in lagu xaddido codsiyada gaarka ah ee isticmaalayaasha aan mudnaanta lahayn. Ficil ahaan, Bubblewrap waxa u isticmaala mashruuca Flatpak lakab ahaan si loo go'doomiyo codsiyada laga bilaabay xirmooyinka. Xeerka mashruuca wuxuu ku qoran yahay C waxaana lagu qaybiyaa shatiga LGPLv2+.
Go'doominta, tignoolajiyada wax-ka-qabashada weelka caadiga ah ee Linux ayaa loo isticmaalaa, iyadoo lagu saleynayo adeegsiga koox-kooxeedyada, meelaha magacyadooda, Seccomp iyo SELinux. Si loo sameeyo hawlgallo mudnaan leh si loo habeeyo weelka, Bubblewrap waxaa lagu bilaabay xuquuqaha xididka (faylka la fulin karo oo leh calan suid ah) ka dibna dib u dajinta mudnaanta ka dib marka weelka la bilaabo.
Dhaqdhaqaaqa meelaha magacyada isticmaale ee nidaamka meelaynta magaca, kaas oo kuu ogolaanaya inaad isticmaasho nooc gaar ah oo aqoonsi oo kuu gaar ah oo ku jira weelasha, loogama baahna hawlgalka, maadaama aanay si caadi ah ugu shaqayn qaybo badan (Bubblewrap waxa loo dhigayaa sidii xaddidan hirgelinta suid ee qayb ka mid ah awoodaha meelaha magaca isticmaalaha - si looga saaro dhammaan isticmaalayaasha iyo habraaca aqoonsiga deegaanka, marka laga reebo kan hadda, CLONE_NEWUSER iyo CLONE_NEWPID hababka ayaa la isticmaalaa). Ilaalinta dheeraadka ah, barnaamijyada lagu fuliyay Bubblewrap ayaa lagu bilaabay qaabka PR_SET_NO_NEW_PRIVS, kaas oo mamnuucaya helitaanka mudnaanta cusub, tusaale ahaan, haddii calanka setuid uu jiro.
Go'doominta heerka nidaamka faylka waxaa lagu dhammeeyaa iyadoo la abuurayo magac cusub oo buur ah oo asal ah, kaas oo qayb xidid madhan la abuuray iyadoo la adeegsanayo tmpfs. Haddii loo baahdo, qaybaha FS ee dibadda ayaa ku lifaaqan qaybtan qaabka "Mount -bind" (tusaale ahaan, marka lagu bilaabo xulashada "bwrap -ro-bind / usr / usr", qaybta / usr waxaa laga soo gudbiyaa nidaamka ugu muhiimsan qaabka akhris-kaliya). Awoodaha shabakadu waxay ku xaddidan yihiin gelitaanka interface-ka loopback oo leh go'doon xirmo shabakadeed iyada oo la adeegsanayo calamada CLONE_NEWNET iyo CLONE_NEWUTS.
Farqiga muhiimka ah ee u dhexeeya mashruuca Firejail ee la midka ah, kaas oo sidoo kale adeegsada qaabka bilawga ah, waa in Bubblewrap lakabka abuuritaanka weelka ay ku jiraan oo kaliya awoodaha ugu yar ee lagama maarmaanka ah, iyo dhammaan hawlaha horumarsan ee lagama maarmaanka u ah socodsiinta codsiyada garaafyada, la falgalka miiska iyo shaandhaynta codsiyada. Pulseaudio, loo wareejiyay dhinaca Flatpak oo la fuliyay ka dib markii mudnaanta dib loo dajiyay. Dab-demiska, dhinaca kale, wuxuu isku daraa dhammaan hawlaha la xidhiidha hal fayl oo la fulin karo, taas oo adkeynaysa xisaabinta iyo ilaalinta amniga heerka saxda ah.
Siideynta cusub:
- Taageero lagu daray nidaamka isu-ururinta Meson. Taageerada lagu dhisayo Autotools waa la hayaa hadda, laakiin waa laga saari doonaa siidaynta mustaqbalka.
- Doorka "--add-seccomp" oo la hirgeliyay si loogu daro in ka badan hal barnaamij seccomp. Waxaa lagu daray digniin ah in haddii aad mar kale sheegtid "--seccomp" ikhtiyaarka, kaliya cabbirka ugu dambeeya ayaa lagu dabaqi doonaa.
- Laantii sayid ee ku taal kaydka git ayaa loo bedelay magaca weyn.
- Taageero qayb ah oo lagu daray faahfaahinta REUSE, taas oo midaysa habka qeexida shatiga iyo macluumaadka xuquuqda daabacaada. Faylal kood badan ayaa lagu daray SPDX-License-Identifier. Raacitaanka tilmaamaha REUSE waxay sahlaysaa in si toos ah loo go'aamiyo shatiga khuseeya qaybaha code-ka codsiga.
- Lagu daray hubinta qiimaha miiska doodaha khadka taliska (argc) oo hirgeliyay ka bixitaan degdeg ah haddii miiska uu eber yahay. Isbeddelku wuxuu caawiyaa xannibaadda arrimaha amniga ee ay sababtay maaraynta khaldan ee doodaha khadka taliska, sida CVE-2021-4034 ee Polkit.
Source: opennet.ru