बबलव्रैप एक उपकरण है क्या काम करता है लिनक्स पर सैंडबॉक्स कार्य को व्यवस्थित करने के लिए और काम गैर-विशेषाधिकार प्राप्त उपयोगकर्ताओं के अनुप्रयोग स्तर पर. व्यवहार में, बबलवैप का उपयोग फ़्लैटपैक प्रोजेक्ट द्वारा सॉफ़्टवेयर पैकेजों से लॉन्च किए गए अनुप्रयोगों को अलग करने के लिए एक मध्य परत के रूप में किया जाता है।
अलगाव के लिए, लिनक्स वर्चुअलाइजेशन तकनीकों का उपयोग करता है पारंपरिक कंटेनरों में cgroups, namespaces, Seccomp और SELinux के उपयोग पर आधारित है। कंटेनर को कॉन्फ़िगर करने के लिए विशेषाधिकार प्राप्त संचालन करने के लिए, बबलवैप को रूट विशेषाधिकार (एक आकर्षक झंडे के साथ एक निष्पादन योग्य फ़ाइल) के साथ शुरू किया जाता है, इसके बाद कंटेनर को इनिशियलाइज़ किए जाने के बाद विशेषाधिकार रीसेट किया जाता है।
उपयोगकर्ता नामस्थान को सिस्टम पर सक्षम करने की आवश्यकता नहीं है, जिससे आप कंटेनरों में पहचानकर्ताओं के अपने सेट का उपयोग कर सकते हैं, क्योंकि यह कई वितरणों में डिफ़ॉल्ट रूप से काम नहीं करता है।
बबलप के बारे में
बबलव्रे को एक सीमित सुईडा कार्यान्वयन के रूप में तैनात किया गया है उपयोगकर्ता नामस्थान के सबसेट से सभी उपयोगकर्ता को बाहर करने और वर्तमान एक को छोड़कर पर्यावरण से आईडी की प्रक्रिया करने के लिए कार्य करता है, मोड का उपयोग करें CLONE_NEWUSER और CLONE_NEWPID.
अतिरिक्त सुरक्षा के लिए, बबलव्रे में चल रहे प्रोग्राम मोड में शुरू होते हैं PR_SET_NO_NEW_PRIVS, नए विशेषाधिकार को प्रतिबंधित करता है, उदाहरण के लिए, सेतु के झंडे के साथ।
फ़ाइल सिस्टम स्तर पर अलगाव डिफ़ॉल्ट रूप से एक नया माउंट नेमस्पेस बनाने के द्वारा किया जाता है, जिसमें एक रूट रूट विभाजन का उपयोग करते हुए चंफट का उपयोग किया जाता है।
यदि आवश्यक हो, बाहरी FS अनुभाग «में इस अनुभाग से जुड़े होते हैंमाउंट -बिंद»(उदाहरण के लिए, विकल्प के साथ शुरू करनाbwrap –ro-bind / usr / usr', / Usr सेक्शन को होस्ट से रीड-ओनली मोड में भेजा जाता है)।
नेटवर्क क्षमताएं लूपबैक इंटरफ़ेस एक्सेस तक सीमित हैं संकेतकों के माध्यम से नेटवर्क स्टैक अलगाव के साथ उलटा CLONE_NEWNET और CLONE_NEWUTS।
समान फायरजेल परियोजना के साथ महत्वपूर्ण अंतर, जो सेटव्यू लांचर का उपयोग करता है, वह है बबलव्रेप में, कंटेनर परत में केवल न्यूनतम आवश्यक विशेषताएं शामिल हैं और ग्राफ़िकल एप्लिकेशन लॉन्च करने के लिए आवश्यक सभी उन्नत फ़ंक्शंस, डेस्कटॉप के साथ बातचीत, और पल्सीडियो को फ़िल्टर कॉल, फ्लैटपैक के किनारे पर लाए जाते हैं और विशेषाधिकारों को रीसेट करने के बाद चलाते हैं।
दूसरी ओर, फायरजेल सभी संबंधित कार्यों को एक निष्पादन योग्य फ़ाइल में जोड़ता है।, अपने ऑडिट को जटिल बनाना और सुरक्षा को उचित स्तर पर रखना।
बबलव्रैप मूल रूप से काम करता है के माध्यम से एक अस्थायी फ़ाइल सिस्टम पर एक खाली माउंट नेमस्पेस बनाना जिसे सैंडबॉक्स प्रक्रिया समाप्त होने के बाद नष्ट कर दिया जाएगा।
स्विच के उपयोग के माध्यम से, उपयोगकर्ता होस्ट सिस्टम से वांछित निर्देशिकाओं के लिंक पर माउंट करके माउंट नेमस्पेस के भीतर वांछित फ़ाइल सिस्टम वातावरण का निर्माण कर सकता है।
बबलरैप 0.4.0
बबलव्रैप वर्तमान में अपने संस्करण 0.4 में है.0 जिसे हाल ही में रिलीज़ किया गया था। प्रोजेक्ट कोड C में लिखा गया है और LGPLv2+ लाइसेंस के तहत वितरित किया गया है।
नया संस्करण नामस्थानों और प्रक्रियाओं में शामिल होने के लिए समर्थन के कार्यान्वयन के लिए उल्लेखनीय है मौजूदा उपयोगकर्ताओं की (पिड नेमस्पेस)।
कनेक्टिंग नेमस्पेस को नियंत्रित करने के लिए "-यूज़र्न", "-यूज़र्न2", और "-पिडन्स" झंडे जोड़े गए हैं।
यह सुविधा सेतुइड मोड में काम नहीं करती है और इसके लिए एक अलग मोड की आवश्यकता होती है जो रूट विशेषाधिकारों के बिना काम कर सकता है, लेकिन सिस्टम पर उपयोगकर्ता नेमस्पेस को सक्षम करने की आवश्यकता होती है (डेबियन और आरएचईएल/सेंटओएस पर डिफ़ॉल्ट रूप से अक्षम) और संभावित रूप से शोषण की संभावना को बाहर नहीं करता है "उपयोगकर्ता नाम स्थान" प्रतिबंधों के किनारे के लिए शेष कमजोरियाँ।
बबलरैप 0.4 में नई सुविधाओं में से, ग्लिबैक के बजाय मसल सी लाइब्रेरी के साथ निर्माण की संभावना पर भी ध्यान दें, और JSON प्रारूप में नामस्थान जानकारी को सांख्यिकी फ़ाइल में सहेजने के लिए समर्थन।
बबलव्रैप कोड, साथ ही इसके बारे में दस्तावेज़ीकरण, Github पर देखा जा सकता है, लिंक यह है.