Siideynta qalabka loogu talagalay abaabulka shaqada deegaanka go'doonsan Bubblewrap 0.8 waa la heli karaa, badanaa waxaa loo isticmaalaa in lagu xaddido codsiyada gaarka ah ee isticmaalayaasha aan mudnaanta lahayn. Ficil ahaan, Bubblewrap waxa u isticmaala mashruuca Flatpak lakab ahaan si loo go'doomiyo codsiyada laga bilaabay xirmooyinka. Xeerka mashruuca wuxuu ku qoran yahay C waxaana lagu qaybiyaa shatiga LGPLv2+.
Go'doominta, tignoolajiyada wax-ka-qabashada weelka caadiga ah ee Linux ayaa loo isticmaalaa, iyadoo lagu saleynayo adeegsiga koox-kooxeedyada, meelaha magacyadooda, Seccomp iyo SELinux. Si loo sameeyo hawlgallo mudnaan leh si loo habeeyo weelka, Bubblewrap waxaa lagu bilaabay xuquuqaha xididka (faylka la fulin karo oo leh calan suid ah) ka dibna dib u dajinta mudnaanta ka dib marka weelka la bilaabo.
Dhaqdhaqaaqa meelaha magacyada isticmaale ee nidaamka meelaynta magaca, kaas oo kuu ogolaanaya inaad isticmaasho nooc gaar ah oo aqoonsi oo kuu gaar ah oo ku jira weelasha, loogama baahna hawlgalka, maadaama aanay si caadi ah ugu shaqayn qaybo badan (Bubblewrap waxa loo dhigayaa sidii xaddidan hirgelinta suid ee qayb ka mid ah awoodaha meelaha magaca isticmaalaha - si looga saaro dhammaan isticmaalayaasha iyo habraaca aqoonsiga deegaanka, marka laga reebo kan hadda, CLONE_NEWUSER iyo CLONE_NEWPID hababka ayaa la isticmaalaa). Ilaalinta dheeraadka ah, barnaamijyada lagu fuliyay Bubblewrap ayaa lagu bilaabay qaabka PR_SET_NO_NEW_PRIVS, kaas oo mamnuucaya helitaanka mudnaanta cusub, tusaale ahaan, haddii calanka setuid uu jiro.
Go'doominta heerka nidaamka faylka waxaa lagu dhammeeyaa iyadoo la abuurayo magac cusub oo buur ah oo asal ah, kaas oo qayb xidid madhan la abuuray iyadoo la adeegsanayo tmpfs. Haddii loo baahdo, qaybaha FS ee dibadda ayaa ku lifaaqan qaybtan qaabka "Mount -bind" (tusaale ahaan, marka lagu bilaabo xulashada "bwrap -ro-bind / usr / usr", qaybta / usr waxaa laga soo gudbiyaa nidaamka ugu muhiimsan qaabka akhris-kaliya). Awoodaha shabakadu waxay ku xaddidan yihiin gelitaanka interface-ka loopback oo leh go'doon xirmo shabakadeed iyada oo la adeegsanayo calamada CLONE_NEWNET iyo CLONE_NEWUTS.
Farqiga muhiimka ah ee u dhexeeya mashruuca Firejail ee la midka ah, kaas oo sidoo kale adeegsada qaabka bilawga ah, waa in Bubblewrap lakabka abuuritaanka weelka ay ku jiraan oo kaliya awoodaha ugu yar ee lagama maarmaanka ah, iyo dhammaan hawlaha horumarsan ee lagama maarmaanka u ah socodsiinta codsiyada garaafyada, la falgalka miiska iyo shaandhaynta codsiyada. Pulseaudio, loo wareejiyay dhinaca Flatpak oo la fuliyay ka dib markii mudnaanta dib loo dajiyay. Dab-demiska, dhinaca kale, wuxuu isku daraa dhammaan hawlaha la xidhiidha hal fayl oo la fulin karo, taas oo adkeynaysa xisaabinta iyo ilaalinta amniga heerka saxda ah.
Siideynta cusub:
- Waxaa lagu daray ikhtiyaarka "--disable-users" si loo joojiyo abuurista magac isticmaale oo buulkeeda leh ee deegaanka sanduuqa-cammuudda.
- Waxaa lagu daray "--assert-userns-disabled" ikhtiyaar si loo hubiyo in booska aqoonsiga isticmaalaha ee jira la isticmaalo marka la isticmaalayo "--disable-users" doorashada.
- Xogta ku jirta farriimaha khaladka ah ee la xidhiidha curyaaminta CONFIG_SECOMP iyo CONFIG_SECOMP_FILTER dejinta ee kernel waa la kordhiyey.
Source: opennet.ru
