Siideynta qalabka loogu talagalay abaabulka shaqada deegaanka go'doonsan Bubblewrap 0.6 waa la heli karaa, badanaa waxaa loo isticmaalaa in lagu xaddido codsiyada gaarka ah ee isticmaalayaasha aan mudnaanta lahayn. Ficil ahaan, Bubblewrap waxa u isticmaala mashruuca Flatpak lakab ahaan si loo go'doomiyo codsiyada laga bilaabay xirmooyinka. Xeerka mashruuca wuxuu ku qoran yahay C waxaana lagu qaybiyaa shatiga LGPLv2+.
Alaab dhaqameed ayaa loo isticmaalaa dahaarka Linux Tiknoolajiyada dhijitaalka ah ee weelka ku salaysan isticmaalka cgroups, namespaces, Seccomp iyo SELinuxSi loo sameeyo hawlgallada habaynta weelka ee mudnaanta leh, Bubblewrap wuxuu ku shaqeeyaa xuquuqda xididka (faylka la fulin karo wuxuu leeyahay calanka suid-ka oo shaqeynaya) ka dibna wuxuu joojiyaa mudnaanta ka dib marka la dhammeeyo bilaabista weelka.
Dhaqdhaqaaqa meelaha magacyada isticmaale ee nidaamka meelaynta magaca, kaas oo kuu ogolaanaya inaad isticmaasho nooc gaar ah oo aqoonsi oo kuu gaar ah oo ku jira weelasha, loogama baahna hawlgalka, maadaama aanay si caadi ah ugu shaqayn qaybo badan (Bubblewrap waxa loo dhigayaa sidii xaddidan hirgelinta suid ee qayb ka mid ah awoodaha meelaha magaca isticmaalaha - si looga saaro dhammaan isticmaalayaasha iyo habraaca aqoonsiga deegaanka, marka laga reebo kan hadda, CLONE_NEWUSER iyo CLONE_NEWPID hababka ayaa la isticmaalaa). Ilaalinta dheeraadka ah, barnaamijyada lagu fuliyay Bubblewrap ayaa lagu bilaabay qaabka PR_SET_NO_NEW_PRIVS, kaas oo mamnuucaya helitaanka mudnaanta cusub, tusaale ahaan, haddii calanka setuid uu jiro.
Go'doominta heerka nidaamka faylka waxaa lagu dhammeeyaa iyadoo la abuurayo magac cusub oo buur ah oo asal ah, kaas oo qayb xidid madhan la abuuray iyadoo la adeegsanayo tmpfs. Haddii loo baahdo, qaybaha FS ee dibadda ayaa ku lifaaqan qaybtan qaabka "Mount -bind" (tusaale ahaan, marka lagu bilaabo xulashada "bwrap -ro-bind / usr / usr", qaybta / usr waxaa laga soo gudbiyaa nidaamka ugu muhiimsan qaabka akhris-kaliya). Awoodaha shabakadu waxay ku xaddidan yihiin gelitaanka interface-ka loopback oo leh go'doon xirmo shabakadeed iyada oo la adeegsanayo calamada CLONE_NEWNET iyo CLONE_NEWUTS.
Farqiga muhiimka ah ee u dhexeeya mashruuca Firejail ee la midka ah, kaas oo sidoo kale adeegsada qaabka bilawga ah, waa in Bubblewrap lakabka abuuritaanka weelka ay ku jiraan oo kaliya awoodaha ugu yar ee lagama maarmaanka ah, iyo dhammaan hawlaha horumarsan ee lagama maarmaanka u ah socodsiinta codsiyada garaafyada, la falgalka miiska iyo shaandhaynta codsiyada. Pulseaudio, loo wareejiyay dhinaca Flatpak oo la fuliyay ka dib markii mudnaanta dib loo dajiyay. Dab-demiska, dhinaca kale, wuxuu isku daraa dhammaan hawlaha la xidhiidha hal fayl oo la fulin karo, taas oo adkeynaysa xisaabinta iyo ilaalinta amniga heerka saxda ah.
Siideynta cusub:
- Taageero lagu daray nidaamka dhismaha Meson. Taageerada dhismaha ee Autotools wali waa la heli karaa, laakiin waa laga saari doonaa sii deynta mustaqbalka.
- Ikhtiyaarka "--add-seccomp" ayaa la hirgeliyay si loogu daro in ka badan hal barnaamij oo seccomp ah. Digniin ayaa lagu daray haddii aad qeexdo ikhtiyaarka "--seccomp" in ka badan hal mar, halbeegga ugu dambeeya oo keliya ayaa la dabaqi doonaa.
- Laanta sare ee ku jirta kaydka git waxaa loo bixiyay magaca weyn.
- Taageero qayb ahaan ah oo loogu talagalay qeexitaanka REUSE, kaas oo mideeya habka qeexidda shatiga iyo macluumaadka xuquuqda daabacaadda, ayaa lagu daray. Cinwaanada SPDX-License-Identifier ayaa lagu daray faylal badan oo kood ah. Talooyinka REUSE-ga ee la socda waxay fududaynaysaa go'aaminta otomaatiga ah ee shatiga khuseeya qaybaha koodhka codsiga.
- Waxaa lagu daray hubinta tiriyaha doodda khadka taliska (argc) waxaana la hirgeliyay ka bixitaan degdeg ah haddii tiriyaha uu eber yahay. Isbeddelkani wuxuu ka hortagayaa arrimaha amniga ee ka dhasha maaraynta khaldan ee doodda khadka taliska ee la ansixiyay, sida CVE-2021-4034 ee Polkit.
Source: opennet.ru
