Për izolim, përdoren teknologjitë tradicionale të virtualizimit të kontejnerëve Linux, bazuar në përdorimin e cgroups, hapësirave të emrave, Seccomp dhe SELinux. Për të kryer operacione të privilegjuara për të konfiguruar një kontejner, Bubblewrap niset me të drejtat rrënjësore (një skedar i ekzekutueshëm me një flamur suid) dhe më pas rivendos privilegjet pasi kontejneri të inicializohet.
Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces — для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением
Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.
Izolimi në nivelin e sistemit të skedarëve realizohet duke krijuar si parazgjedhje një hapësirë të re të montimit, në të cilën krijohet një ndarje rrënjë bosh duke përdorur tmpfs. Nëse është e nevojshme, ndarjet e jashtme FS i bashkëngjiten kësaj ndarje në modalitetin "mount —bind" (për shembull, kur lëshohet me opsionin "bwrap —ro-bind /usr /usr", ndarja /usr përcillet nga sistemi kryesor në modalitetin vetëm për lexim). Aftësitë e rrjetit janë të kufizuara në aksesin në ndërfaqen loopback me izolimin e stivës së rrjetit nëpërmjet flamujve CLONE_NEWNET dhe CLONE_NEWUTS.
Dallimi kryesor nga një projekt i ngjashëm
Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги «—userns», «—userns2» и «—pidns».
Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации
user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность
Burimi: opennet.ru