बबलवॅप हे एक साधन आहे काय कार्य करते लिनक्स वर सँडबॉक्सचे काम आयोजित करण्यासाठी आणि धाव परवानगी नसलेल्या वापरकर्त्यांच्या अनुप्रयोग स्तरावर. सराव मध्ये, फ्लडपॅक प्रोजेक्टद्वारे बबलप्लॅपचा वापर सॉफ्टवेअर पॅकेजेसपासून लाँच केलेल्या अनुप्रयोगांना वेगळ्या करण्यासाठी इंटरमीडिएट लेयर म्हणून केला जातो.
अलगावसाठी, लिनक्स व्हर्च्युअलायझेशन तंत्रज्ञान वापरतो cgroups, नेमस्पेसेस, Seccomp आणि SELinux च्या वापरावर आधारित पारंपारिक कंटेनर कंटेनर कॉन्फिगर करण्यासाठी विशेषाधिकारित ऑपरेशन्स करण्यासाठी, बबलपॅप रूट विशेषाधिकारांसह (सुईड ध्वजांसह एक्झिक्यूटेबल फाइल) सह प्रारंभ केले जाते, त्यानंतर कंटेनर आरंभ झाल्यानंतर विशेषाधिकार रीसेट होते.
सिस्टीमवर वापरकर्ता नेमस्पेसेस सक्षम करण्याची आवश्यकता नाही, आपल्याला कंटेनरमध्ये आपल्या स्वत: च्या आयडीचा सेट वापरण्याची परवानगी देऊन डीफॉल्टनुसार हे बर्याच वितरणांवर कार्य करत नाही.
बबलवॅप बद्दल
बबलवॅप मर्यादित सूदा अंमलबजावणी म्हणून स्थित आहे सध्याच्या व्यतिरिक्त सर्व उपयोक्त्यांना व वातावरणावरील प्रक्रिया आयडी वगळण्यासाठी वापरकर्त्याच्या नेमस्पेस फंक्शन्सच्या उपसेटमधून, रीती वापरा CLONE_NEWUSER आणि CLONE_NEWPID.
अतिरिक्त संरक्षणासाठी, बबलवॅपमध्ये चालणारे प्रोग्राम मोडमध्ये सुरू होतात PR_SET_NO_NEW_PRIVS, जे नवीन विशेषाधिकारांना प्रतिबंधित करते, उदाहरणार्थ, सेटूइड ध्वजासह.
पूर्वनिर्धारितपणे, नवीन माउंट नेमस्पेस तयार करून फाइलप्रणाली स्तरावर पृथक्करण केले जाते, ज्यामध्ये रिकामे रूट विभाजन tmpfs चा वापर करून तयार केले जाते.
आवश्यक असल्यास, बाह्य एफएस विभाग in मधील या विभागात संलग्न केलेले आहेत.माउंट ओबिंद»(उदाहरणार्थ, पर्यायासह प्रारंभ करणे«bwrap –ro-bind / usr / usr', / Usr विभाग केवळ-वाचनीय मोडमध्ये होस्टकडून अग्रेषित केला आहे).
लूपबॅक इंटरफेसवर प्रवेश करण्यासाठी नेटवर्क क्षमता मर्यादित आहे निर्देशकांद्वारे नेटवर्क स्टॅक अलगावसह व्यस्त CLONE_NEWNET आणि CLONE_NEWUTS.
तत्सम फायरजेल प्रोजेक्टमधील मुख्य फरक, जे सेट्युइड लाँचर देखील वापरते, ते म्हणजे बबलवॅपमध्ये, कंटेनर थरात फक्त किमान आवश्यक वैशिष्ट्ये समाविष्ट आहेत आणि ग्राफिकल launchप्लिकेशन्स लॉन्च करण्यासाठी आवश्यक सर्व प्रगत कार्ये, डेस्कटॉपशी संवाद साधणे आणि पल्सॉडियोला फिल्टर कॉल करणे फ्लॅटपाकच्या बाजूला आणले जातात आणि विशेषाधिकार रीसेट केल्यावर चालवतात.
दुसरीकडे फायरजेल सर्व संबंधित फंक्शन्सना एका एक्झिक्युटेबल फाइलमध्ये एकत्र करते, आपले ऑडिट गुंतागुंत आणि योग्य स्तरावर सुरक्षा ठेवणे.
मुळात बबलवॅप काम करते च्या माध्यमातून तात्पुरती फाइल सिस्टमवर रिक्त माउंट नेमस्पेस तयार करणे जे सँडबॉक्स प्रक्रिया पूर्ण झाल्यानंतर नष्ट होईल.
स्विचचा वापर करून, वापरकर्ता यजमान प्रणालीपासून इच्छित डिरेक्टरीजच्या दुव्यावर आरोहित करून माउंट नेमस्पेसमध्ये इच्छित फाइलसिस्टम वातावरण तयार करू शकतो.
बबलप्रेस 0.4.0
बबलवॅप सध्या त्याच्या आवृत्ती 0.4 मध्ये आहे.0 जी नुकतीच प्रसिद्ध झाली. प्रोजेक्ट कोड सी मध्ये लिहिलेला आहे आणि एलजीपीएलव्ही 2 + परवान्याअंतर्गत वितरीत केला आहे.
नवीन आवृत्ती नेमस्पेसेस आणि प्रक्रियेत सामील होण्यासाठी समर्थनाच्या अंमलबजावणीसाठी उल्लेखनीय आहे विद्यमान वापरकर्ते (पीड नेमस्पेस).
नेमस्पेसचे कनेक्शन नियंत्रित करण्यासाठी "seruserns", "seruserns2" आणि "idpidns" ध्वज जोडले गेले आहेत.
हे वैशिष्ट्य सेट्युइड मोडमध्ये कार्य करत नाही आणि वेगळ्या मोडची आवश्यकता आहे जी रूट परवानगीशिवाय कार्य करू शकते, परंतु वापरकर्त्यास नेमस्पेसेस सिस्टमवर सक्षम करणे आवश्यक आहे (डेबियन आणि आरएचईएल / सेंटोसवर डीफॉल्टनुसार अक्षम केलेले) आणि शक्यता वगळत नाही. "वापरकर्ता नेमस्पेस" निर्बंधाच्या काठावर असलेल्या संभाव्य उर्वरित असुरक्षांचे शोषण करणे.
बबल्रॅप 0.4 च्या नवीन वैशिष्ट्यांपैकी, ग्लिबसी ऐवजी मसल सी लायब्ररी बनवण्याची शक्यताही लक्षात आली आहे. आणि JSON स्वरूपनात आकडेवारी फाइलमध्ये नेमस्पेस माहिती जतन करण्यासाठी समर्थन.
बबल्रॅप कोड तसेच त्यासंबंधीचे दस्तऐवजीकरण यावर गीथूबवर सल्लामसलत केली जाऊ शकते, दुवा हा आहे.