tokollo e ncha ea pokello ea lisebelisoa , e etselitsoeng ho hlophisa mosebetsi oa libaka tse arohaneng Linux mme e sebetsa boemong ba kopo bakeng sa basebelisi ba se nang litokelo. Ha e le hantle, Bubblewrap e sebelisoa ke projeke ea Flatpak e le lera la ho arola lits'ebetso tse qalileng ho tsoa liphuthelong. Khoutu ea projeke e ngotsoe ka C le e fuoe laesense tlasa LGPLv2+.
Lisebelisoa tsa setso li sebelisetsoa ho kenya mocheso Linux mahlale a ho etsa hore dikhonteina di be le pono a itshetlehile hodima tshebediso ya di-cgroup, dibaka tsa mabitso, Seccomp le SELinuxHo etsa mesebetsi ea tlhophiso ea setshelo se nang le tokelo, Bubblewrap e sebetsa ka litokelo tsa motso (faele e ka sebelisoang e na le folakha ea suid e lumelletsoeng) ebe e theola litokelo ka mor'a hore qalo ea setshelo e phethe.
Ts'ebetso ea libaka tsa mabitso a basebelisi tsamaisong ea sebaka sa mabitso, e u lumellang hore u sebelise li-identifiers tsa hau tse arohaneng ka har'a lijara, ha e hlokehe bakeng sa ts'ebetso, kaha ha e sebetse ka mokhoa o ikhethileng likhatisong tse ngata (Bubblewrap e behiloe joalo ka ts'ebetso e fokolang ea ho ipolaea. sehlopha se senyenyane sa bokhoni ba libaka tsa mabitso a basebelisi - ho se kenyelletse li-identifiers tsohle le lits'ebetso tikolohong, ntle le ea hajoale, ho sebelisoa mekhoa ea CLONE_NEWUSER le CLONE_NEWPID). Bakeng sa tšireletso e eketsehileng, e ka phethisoa tlas'a taolo
Mananeo a bubblewrap a qalisoa ka mokhoa oa PR_SET_NO_NEW_PRIVS, o thibelang ho fumana litokelo tse ncha, mohlala, haeba folakha ea setuid e le teng.
Ho itšehla thajana boemong ba tsamaiso ea faele ho finyelloa ka ho theha sebaka se secha sa mabitso ka ho sa feleng, moo karohano ea metso e se nang letho e entsoeng ka tmpfs. Haeba ho hlokahala, likarolo tsa kantle tsa FS li hokahantsoe le karohano ena ka mokhoa oa "mount -bind" (mohlala, ha e qala ka khetho ea "bwrap -ro-bind / usr / usr", karohano ea / usr e fetisetsoa ho sistimi e kholo. ka mokgwa wa ho bala feela). Bokhoni ba marang-rang bo lekanyelitsoe ho fihlella sehokelo sa loopback ka ho itšehla thajana ka stack ea marang-rang ka CLONE_NEWNET le lifolakha tsa CLONE_NEWUTS.
Phapang e kholo ho tsoa ho projeke e ts'oanang , eo hape e sebelisang mohlala oa ho qala setuid, ke hore ho Bubblewrap lera la pōpo ea lijana le kenyelletsa feela bokhoni bo fokolang bo hlokahalang, mme mesebetsi eohle e tsoetseng pele e hlokahalang bakeng sa ho sebelisa lits'ebetso tsa graphical, ho sebelisana le komporo le ho sefa mehala ho Pulseaudio li fetisetsoa Flatpak 'me lia etsoa. ka mor'a hore litokelo li behoe bocha. Firejail, ka lehlakoreng le leng, e kopanya mesebetsi eohle e amanang le faele e le 'ngoe e sebetsang, e etsang hore ho be thata ho hlahloba le ho boloka ts'ireletso ho. .
Tokollo e ncha e bohlokoa bakeng sa ts'ebetsong ea ts'ehetso ea ho kopanya libaka tsa mabitso a basebelisi le ho sebetsa libaka tsa mabitso tsa pid. Ho laola khokahano ea libaka tsa mabitso, lifolakha tsa "--userns", "--userns2" le "-pidns" li kentsoe.
Karolo ena ha e sebetse ka mokhoa oa setuid mme e hloka ts'ebeliso ea mokhoa o arohaneng, o ka sebetsang ntle le ho fumana litokelo tsa metso, empa o hloka ts'ebetso.
libaka tsa mabitso tsa basebelisi tsamaisong (li emisitsoe ka boiketsetso ho Debian le RHEL/CentOS) mme ha e qhelele ka thoko monyetla bakeng sa "libaka tsa mabitso a basebelisi" lithibelo rim. Likarolo tse ncha tsa Bubblewrap 0.4 li kenyelletsa le bokhoni ba ho aha ka laeborari ea musl C ho fapana le glibc le ts'ehetso ea ho boloka tlhaiso-leseling ea sebaka sa mabitso faeleng e nang le lipalo-palo ka sebopeho sa JSON.
Source: opennet.ru
