tokollo e ncha ea pokello ea lisebelisoa , e etselitsoeng ho hlophisa mosebetsi oa libaka tse ka thōko ho Linux le ho sebetsa boemong ba tšebeliso ea basebelisi ba se nang tokelo. Ha e le hantle, Bubblewrap e sebelisoa ke morero oa Flatpak e le lera la ho arola lits'ebetso tse qalileng ho tsoa ho liphutheloana. Khoutu ea morero e ngotsoe ka C le e fuoe laesense tlasa LGPLv2+.
Bakeng sa ho itšehla thajana, ho sebelisoa litheknoloji tse tloaelehileng tsa lisebelisoa tsa Linux, tse ipapisitseng le ts'ebeliso ea lihlopha, libaka tsa mabitso, Seccomp le SELinux. Ho etsa ts'ebetso e khethehileng ea ho lokisa setshelo, Bubblewrap e hlahisoa ka litokelo tsa metso (faele e ka phethisoang e nang le folakha ea suid) ebe e hlophisa litokelo bocha kamora hore setshelo se qalisoa.
Ts'ebetso ea libaka tsa mabitso a basebelisi tsamaisong ea sebaka sa mabitso, e u lumellang hore u sebelise li-identifiers tsa hau tse arohaneng ka har'a lijara, ha e hlokehe bakeng sa ts'ebetso, kaha ha e sebetse ka mokhoa o ikhethileng likhatisong tse ngata (Bubblewrap e behiloe joalo ka ts'ebetso e fokolang ea ho ipolaea. sehlopha se senyenyane sa bokhoni ba libaka tsa mabitso a basebelisi - ho se kenyelletse li-identifiers tsohle le lits'ebetso tikolohong, ntle le ea hajoale, ho sebelisoa mekhoa ea CLONE_NEWUSER le CLONE_NEWPID). Bakeng sa tšireletso e eketsehileng, e ka phethisoa tlas'a taolo
Mananeo a bubblewrap a qalisoa ka mokhoa oa PR_SET_NO_NEW_PRIVS, o thibelang ho fumana litokelo tse ncha, mohlala, haeba folakha ea setuid e le teng.
Ho itšehla thajana boemong ba tsamaiso ea faele ho finyelloa ka ho theha sebaka se secha sa mabitso ka ho sa feleng, moo karohano ea metso e se nang letho e entsoeng ka tmpfs. Haeba ho hlokahala, likarolo tsa kantle tsa FS li hokahantsoe le karohano ena ka mokhoa oa "mount -bind" (mohlala, ha e qala ka khetho ea "bwrap -ro-bind / usr / usr", karohano ea / usr e fetisetsoa ho sistimi e kholo. ka mokgwa wa ho bala feela). Bokhoni ba marang-rang bo lekanyelitsoe ho fihlella sehokelo sa loopback ka ho itšehla thajana ka stack ea marang-rang ka CLONE_NEWNET le lifolakha tsa CLONE_NEWUTS.
Phapang e kholo ho tsoa ho projeke e ts'oanang , eo hape e sebelisang mohlala oa ho qala setuid, ke hore ho Bubblewrap lera la pōpo ea lijana le kenyelletsa feela bokhoni bo fokolang bo hlokahalang, mme mesebetsi eohle e tsoetseng pele e hlokahalang bakeng sa ho sebelisa lits'ebetso tsa graphical, ho sebelisana le komporo le ho sefa mehala ho Pulseaudio li fetisetsoa Flatpak 'me lia etsoa. ka mor'a hore litokelo li behoe bocha. Firejail, ka lehlakoreng le leng, e kopanya mesebetsi eohle e amanang le faele e le 'ngoe e sebetsang, e etsang hore ho be thata ho hlahloba le ho boloka ts'ireletso ho. .
Tokollo e ncha e bohlokoa bakeng sa ts'ebetsong ea ts'ehetso ea ho kopanya libaka tsa mabitso a basebelisi le ho sebetsa libaka tsa mabitso tsa pid. Ho laola khokahano ea libaka tsa mabitso, lifolakha tsa "--userns", "--userns2" le "-pidns" li kentsoe.
Karolo ena ha e sebetse ka mokhoa oa setuid mme e hloka ts'ebeliso ea mokhoa o arohaneng, o ka sebetsang ntle le ho fumana litokelo tsa metso, empa o hloka ts'ebetso.
libaka tsa mabitso a basebelisi tsamaisong (e holofalitsoeng ke kamehla ho Debian le RHEL/CentOS) 'me ha e behelle ka thoko monyetla bakeng sa "libaka tsa mabitso a basebelisi" lithibelo rim. Likarolo tse ncha tsa Bubblewrap 0.4 li kenyelletsa le bokhoni ba ho aha ka laeborari ea musl C ho fapana le glibc le ts'ehetso ea ho boloka tlhaiso-leseling ea sebaka sa mabitso faeleng e nang le lipalo-palo ka sebopeho sa JSON.
Source: opennet.ru
