Какие недостатки chroot в сравнении с VM?

Из чрута можно сбежать и он тоже «использует ядро хоста». Это просто подмена файловых путей.

Понял. А какой вариант на базе контейнеров/виртуализации, можно назвать самым быстродействующим и в сравнении безопасным? Если подразумевается и запуск графических приложений (например, скайп тот же проприетарный, в здравом уме на хост систему ставить не захочешь) и обычных. В чруте например я поставил минимальную сборку, дбас и использовал x-сервер хоста.

Тебе нужен firejail.

upd:

Хотя стоп…

Ну, от Докера сразу отказался, ибо он использует ядро хоста и это мне не подходит

Но ведь чрут тоже использует ядро хоста. Отдельное ядро только в виртуалке, но там ты будешь долго ждать загрузки. Одновременно и отдельное ядро и не ждать загрузки и безопасно — не бывает.

Уточни, какая именно стоит задача? «На отдельном ядре» — это не задача, а выбранный (возможно зря) вариант решения. Если просто оградить приложение так, чтобы он не имел доступа к данным, определённым протоколом, сети, и всё это гибко настраиваемо — тогда подойдёт firejail. Если что-то другое, и действительно нужно отдельное ядро, то смотри в сторону xen.

подойдёт firejail

Начинает не подходить для некоторых относительно недешевых коммерческих приложений, делают какую-то пока-что неведомую необходимую защиту, ближайший пример: софт от The Foundry.

Тебе нужен firejail

Впринципе, реализовано всё достаточно просто у них. Но вот если например я запихаю туда один браузер для посещения недоверенных страниц, которые работают только с включенным яваскриптом и нарвусь на эксплоит, который умеет в повышение привелегий, будучи на машине - то не поможет выходит ни он ни чрут ни докер.

Ну тут смотри, нужно аж три уязвимости: в браузере — выполнение произвольного кода, в ОС — повышение привилегий, в самом firejail — побег за пределы сэндбокса. Вероятность существования всех трёх одновременно, конечно, не нулевая, но всё же. 100% гарантии не может дать, пожалуй, вообще ничто.

По сути две - выполенение произвольного кода и повышение привелегий. Если малварь в них умеет, то с правами рута нет разницы - в сендбоксе она или нет.

но там ты будешь долго ждать загрузки.

Qemu с ядром defconfig и debian внутри стартует за 5-7 секунд до момента, пока не станет доступен ssh. Это не так и долго.

А скайп у меня и из докера отлично впринципе запускается, чтобы лишнее не читал из системы. Просто, хотелось подумать, какие могут быть ещё варианты, пробую разные. Firefox в чрут Alpine linux для сравнения поставил, запускается так быстро, что мала разницы с запуском с просто хоста по скорости.

с правами рута нет разницы - в сендбоксе она или нет

Возможно, это не так, но unprivileged LXC не об этом? Когда root в контейнере - это лишь какой-нибудь UID 100000 на хосте.

selinux тебе в помощь

отдельный пользователь для приложения и не морочте себе и людям мозг

Если малварь в них умеет, то с правами рута нет разницы - в сендбоксе она или нет.

Внутри сэндбокса системные каталоги все read-only даже для рута. Хомяк у тебя вообще пустой огороженный, специально для огораживаемой программы (--private=~/sandbox например). Как малварь, даже обладая правами рута, но внутри сэндбокса, произведёт какие-то деструктивные действия?

5-7 секунд до момента, пока не станет доступен ssh. Это не так и долго.

Ну это всё относительно. У меня столько (6–7 секунд) и на реальном железе от grub до загруженного WM в иксах и с уже запущенными jabber- и tox-клиентами… Правда от кнопки включения до grub — почти столько же…

Почитал ветку, но так и не понял, что тебе надо. Надо, что бы каждое приложение было как-нибудь жестко изолировано от всего остального?

В принципе, тут уже советовали selinux, можно еще вспомнить qubesOS от пани Рутковски, там всё, что тебе нужно, идет из коробки.

Внутри сэндбокса системные каталоги все read-only даже для рута.

Впринципе, нашёл подходящий вариант для себя. А можно почитать подробнее, как это реализовано - что у рута внутри сендбокса нет прав, я думал, рут - он рут и есть?

А можно почитать подробнее, как это реализовано - что у рута внутри сендбокса нет прав, я думал, рут - он рут и есть?

Не то чтобы нет прав. Это уже не права, это read-only. А почитать, через что это всё реализовано… Гугли namespaces linux. Конкретно про mount namespaces: http://man7.org/linux/man-pages/man7/mount_namespaces.7.html