Siideynta qalabka loogu talagalay abaabulka shaqada deegaanka go'doonsan Bubblewrap 0.8 waa la heli karaa, badanaa waxaa loo isticmaalaa in lagu xaddido codsiyada gaarka ah ee isticmaalayaasha aan mudnaanta lahayn. Ficil ahaan, Bubblewrap waxa u isticmaala mashruuca Flatpak lakab ahaan si loo go'doomiyo codsiyada laga bilaabay xirmooyinka. Xeerka mashruuca wuxuu ku qoran yahay C waxaana lagu qaybiyaa shatiga LGPLv2+.
Go'doominta, tignoolajiyada wax-ka-qabashada weelka caadiga ah ee Linux ayaa loo isticmaalaa, iyadoo lagu saleynayo adeegsiga koox-kooxeedyada, meelaha magacyadooda, Seccomp iyo SELinux. Si loo sameeyo hawlgallo mudnaan leh si loo habeeyo weelka, Bubblewrap waxaa lagu bilaabay xuquuqaha xididka (faylka la fulin karo oo leh calan suid ah) ka dibna dib u dajinta mudnaanta ka dib marka weelka la bilaabo.
Dhaqdhaqaaqa meelaha magacyada isticmaale ee nidaamka meelaynta magaca, kaas oo kuu ogolaanaya inaad isticmaasho nooc gaar ah oo aqoonsi oo kuu gaar ah oo ku jira weelasha, loogama baahna hawlgalka, maadaama aanay si caadi ah ugu shaqayn qaybo badan (Bubblewrap waxa loo dhigayaa sidii xaddidan hirgelinta suid ee qayb ka mid ah awoodaha meelaha magaca isticmaalaha - si looga saaro dhammaan isticmaalayaasha iyo habraaca aqoonsiga deegaanka, marka laga reebo kan hadda, CLONE_NEWUSER iyo CLONE_NEWPID hababka ayaa la isticmaalaa). Ilaalinta dheeraadka ah, barnaamijyada lagu fuliyay Bubblewrap ayaa lagu bilaabay qaabka PR_SET_NO_NEW_PRIVS, kaas oo mamnuucaya helitaanka mudnaanta cusub, tusaale ahaan, haddii calanka setuid uu jiro.
Go'doominta heerka nidaamka faylka waxaa lagu dhammeeyaa iyadoo la abuurayo magac cusub oo buur ah oo asal ah, kaas oo qayb xidid madhan la abuuray iyadoo la adeegsanayo tmpfs. Haddii loo baahdo, qaybaha FS ee dibadda ayaa ku lifaaqan qaybtan qaabka "Mount -bind" (tusaale ahaan, marka lagu bilaabo xulashada "bwrap -ro-bind / usr / usr", qaybta / usr waxaa laga soo gudbiyaa nidaamka ugu muhiimsan qaabka akhris-kaliya). Awoodaha shabakadu waxay ku xaddidan yihiin gelitaanka interface-ka loopback oo leh go'doon xirmo shabakadeed iyada oo la adeegsanayo calamada CLONE_NEWNET iyo CLONE_NEWUTS.
Farqiga muhiimka ah ee u dhexeeya mashruuca Firejail ee la midka ah, kaas oo sidoo kale adeegsada qaabka bilawga ah, waa in Bubblewrap lakabka abuuritaanka weelka ay ku jiraan oo kaliya awoodaha ugu yar ee lagama maarmaanka ah, iyo dhammaan hawlaha horumarsan ee lagama maarmaanka u ah socodsiinta codsiyada garaafyada, la falgalka miiska iyo shaandhaynta codsiyada. Pulseaudio, loo wareejiyay dhinaca Flatpak oo la fuliyay ka dib markii mudnaanta dib loo dajiyay. Dab-demiska, dhinaca kale, wuxuu isku daraa dhammaan hawlaha la xidhiidha hal fayl oo la fulin karo, taas oo adkeynaysa xisaabinta iyo ilaalinta amniga heerka saxda ah.
Siideynta cusub:
- ΠΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΎΠΏΡΠΈΡ Β«βdisable-usernsΒ» ΠΎΡΠΊΠ»ΡΡΠ°ΡΡΠ°Ρ ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Π² sandbox-ΠΎΠΊΡΡΠΆΠ΅Π½ΠΈΠΈ ΡΠ²ΠΎΠ΅Π³ΠΎ Π²Π»ΠΎΠΆΠ΅Π½Π½ΠΎΠ³ΠΎ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²Π° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡΠΎΠ² ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ (user namespace).
- ΠΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΎΠΏΡΠΈΡ Β«βassert-userns-disabledΒ» Π΄Π»Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ, ΡΡΠΎ ΠΏΡΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠΈ ΠΎΠΏΡΠΈΠΈ Β» βdisable-usernsΒ» Π·Π°Π΄Π΅ΠΉΡΡΠ²ΠΎΠ²Π°Π½ΠΎ ΡΡΡΠ΅ΡΡΠ²ΡΡΡΠ΅Π΅ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²ΠΎ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡΠΎΠ² ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ.
- ΠΠΎΠ²ΡΡΠ΅Π½Π° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠ²Π½ΠΎΡΡΡ ΡΠΎΠΎΠ±ΡΠ΅Π½ΠΈΠΉ ΠΎΠ± ΠΎΡΠΈΠ±ΠΊΠ°Ρ , ΡΠ²ΡΠ·Π°Π½Π½ΡΡ Ρ ΠΎΡΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ΠΌ Π² ΡΠ΄ΡΠ΅ Π½Π°ΡΡΡΠΎΠ΅ΠΊ CONFIG_SECCOMP ΠΈ CONFIG_SECCOMP_FILTER.
Source: opennet.ru