టూల్కిట్ యొక్క కొత్త విడుదల వివిక్త వాతావరణాలలో పనిని నిర్వహించడానికి రూపొందించబడింది Linux మరియు ప్రత్యేకాధికారాలు లేని వినియోగదారుల కోసం అప్లికేషన్ స్థాయిలో పనిచేస్తుంది. ఆచరణలో, ప్యాకేజీల నుండి ప్రారంభించబడిన అప్లికేషన్లను వేరుచేయడానికి ఫ్లాట్ప్యాక్ ప్రాజెక్ట్ బబుల్వ్రాప్ను ఒక పొరగా ఉపయోగిస్తుంది. ఈ ప్రాజెక్ట్ కోడ్ C లో వ్రాయబడింది మరియు LGPLv2+ కింద లైసెన్స్ పొందింది.
ఇన్సులేషన్ కోసం సాంప్రదాయ పదార్థాలను ఉపయోగిస్తారు Linux cgroups, namespaces, Seccomp మరియు SE ల వాడకం ఆధారంగా కంటైనర్ వర్చువలైజేషన్ టెక్నాలజీలుLinuxప్రత్యేక అధికారాలతో కూడిన కంటైనర్ కాన్ఫిగరేషన్ కార్యకలాపాలను నిర్వహించడానికి, బబుల్వ్రాప్ రూట్ అధికారాలతో నడుస్తుంది (ఎగ్జిక్యూటబుల్ ఫైల్లో suid ఫ్లాగ్ ఎనేబుల్ చేయబడి ఉంటుంది) మరియు కంటైనర్ ఇనీషియలైజేషన్ పూర్తయిన తర్వాత అధికారాలను వదిలివేస్తుంది.
నేమ్స్పేస్ సిస్టమ్లో యూజర్ నేమ్స్పేస్ల యాక్టివేషన్, ఇది కంటైనర్లలో మీ స్వంత ప్రత్యేక ఐడెంటిఫైయర్లను ఉపయోగించడానికి మిమ్మల్ని అనుమతిస్తుంది, ఆపరేషన్ కోసం ఇది అవసరం లేదు, ఎందుకంటే ఇది చాలా డిస్ట్రిబ్యూషన్లలో డిఫాల్ట్గా పని చేయదు (బబుల్వ్రాప్ అనేది ఒక పరిమిత సూయిడ్ ఇంప్లిమెంటేషన్గా ఉంచబడింది. వినియోగదారు నేమ్స్పేస్ సామర్థ్యాల ఉపసమితి - పర్యావరణం నుండి అన్ని వినియోగదారు మరియు ప్రాసెస్ ఐడెంటిఫైయర్లను మినహాయించడానికి, ప్రస్తుతది మినహా, CLONE_NEWUSER మరియు CLONE_NEWPID మోడ్లు ఉపయోగించబడతాయి). అదనపు రక్షణ కోసం, నియంత్రణలో అమలు చేయవచ్చు
Bubblewrap ప్రోగ్రామ్లు PR_SET_NO_NEW_PRIVS మోడ్లో ప్రారంభించబడ్డాయి, ఇది కొత్త అధికారాలను పొందడాన్ని నిషేధిస్తుంది, ఉదాహరణకు, సెటూయిడ్ ఫ్లాగ్ ఉన్నట్లయితే.
ఫైల్ సిస్టమ్ స్థాయిలో ఐసోలేషన్ డిఫాల్ట్గా కొత్త మౌంట్ నేమ్స్పేస్ని సృష్టించడం ద్వారా సాధించబడుతుంది, దీనిలో tmpfs ఉపయోగించి ఖాళీ రూట్ విభజన సృష్టించబడుతుంది. అవసరమైతే, బాహ్య FS విభజనలు ఈ విభజనకు “mount —bind” మోడ్లో జతచేయబడతాయి (ఉదాహరణకు, “bwrap —ro-bind /usr /usr” ఎంపికతో ప్రారంభించినప్పుడు, /usr విభజన ప్రధాన సిస్టమ్ నుండి ఫార్వార్డ్ చేయబడుతుంది. చదవడానికి-మాత్రమే మోడ్లో). CLONE_NEWNET మరియు CLONE_NEWUTS ఫ్లాగ్ల ద్వారా నెట్వర్క్ స్టాక్ ఐసోలేషన్తో లూప్బ్యాక్ ఇంటర్ఫేస్ను యాక్సెస్ చేయడానికి నెట్వర్క్ సామర్థ్యాలు పరిమితం చేయబడ్డాయి.
ఇదే ప్రాజెక్ట్ నుండి కీలక వ్యత్యాసం , ఇది సెటూయిడ్ లాంచ్ మోడల్ను కూడా ఉపయోగిస్తుంది, బబుల్వ్రాప్లో కంటైనర్ సృష్టి లేయర్ అవసరమైన కనీస సామర్థ్యాలను మాత్రమే కలిగి ఉంటుంది మరియు గ్రాఫికల్ అప్లికేషన్లను అమలు చేయడానికి, డెస్క్టాప్తో ఇంటరాక్ట్ చేయడానికి మరియు పల్సౌడియోకి కాల్లను ఫిల్టర్ చేయడానికి అవసరమైన అన్ని అధునాతన ఫంక్షన్లు ఫ్లాట్పాక్ అవుట్సోర్స్ చేయబడ్డాయి మరియు అమలు చేయబడతాయి. అధికారాలను రీసెట్ చేసిన తర్వాత. ఫైర్జైల్, మరోవైపు, ఒక ఎక్జిక్యూటబుల్ ఫైల్లో అన్ని సంబంధిత ఫంక్షన్లను మిళితం చేస్తుంది, ఇది ఆడిట్ చేయడం మరియు భద్రతను నిర్వహించడం కష్టతరం చేస్తుంది. .
కొత్త విడుదల ఇప్పటికే ఉన్న యూజర్ నేమ్స్పేస్లు మరియు ప్రాసెస్ పిడ్ నేమ్స్పేస్లలో చేరడానికి మద్దతును అమలు చేయడం కోసం గుర్తించదగినది. నేమ్స్పేస్ల కనెక్షన్ని నియంత్రించడానికి, “--యూజర్లు”, “--యూజర్స్2” మరియు “-పిడ్న్స్” ఫ్లాగ్లు జోడించబడ్డాయి.
ఈ ఫీచర్ సెటూయిడ్ మోడ్లో పని చేయదు మరియు ప్రత్యేక మోడ్ని ఉపయోగించడం అవసరం, ఇది రూట్ హక్కులను పొందకుండానే పని చేయగలదు, అయితే యాక్టివేషన్ అవసరం
సిస్టమ్లోని యూజర్ నేమ్స్పేస్లు (డిఫాల్ట్గా నిలిపివేయబడ్డాయి) Debian మరియు ఆర్హెచ్ఈఎల్/CentOS) మరియు అవకాశాన్ని తోసిపుచ్చదు "యూజర్ నేమ్స్పేసెస్" పరిమితుల అంచు కోసం. బబుల్వ్రాప్ 0.4 యొక్క కొత్త ఫీచర్లు glibcకి బదులుగా musl C లైబ్రరీతో నిర్మించగల సామర్థ్యాన్ని కలిగి ఉంటాయి మరియు JSON ఆకృతిలో గణాంకాలతో కూడిన ఫైల్కి నేమ్స్పేస్ సమాచారాన్ని సేవ్ చేయడానికి మద్దతునిస్తాయి.
మూలం: opennet.ru
