Защитные меры для Wine

Запускай Wine в контейнере.

Мануалом не богаты?

Сам по себе вайн не является средством изоляции. Мне даже не удалось его запустить без диска z:=/

но суть вот в чём: нужно ли для использования Wine как-то огораживать от него систему, вроде создания отдельного пользователя или типа того?

а что ты собрался делать?

Можно и отдельного юзера создать, можно вообще его в отдельном сеансе запускать.

нужно ли для использования Wine как-то огораживать от него систему, вроде создания отдельного пользователя или типа того?

Смотря какой софт ты собираешься использовать. Если собираешься запускать всякие неизвестные проги, то лучше создать отдельного пользователя.

А прогу запускал с диска C? Если нет, то так и должно быть. У меня всё нормально работает.

А чем вообще может навредить виндовая вирусня, если не дать ей доступ к z? Ну кроме неизвестных уязвимостей, позволяющих выйти за пределы Wine (если такие вообще есть и кому-то интересно их использовать).

используй firejail
«из коробки» есть готовый профиль

Зачем мануал? Разворачиваешь контейнер с Debian или любым другим бинарным дистром (ибо вообще пофиг), ставишь туда Wine, ставишь софт, пользуешься. Можешь вместо контейнера пользоваться виртуалкой, но туда можно и венду накатить, если аппаратное ускорение не требуется.

А один Wine вместе с комплектом библиотек можно в контейнер обернуть?

А чем вообще может навредить виндовая вирусня, если не дать ей доступ к z?

Например, зашифровать все файлы в домашнем каталоге пользователя. Или удалить их, если вирус имеет только цель навредить.

Я использую для этого apparmor, предоставляя вайну доступ только к тем директориям, которые ему нужны и которые я использую, но если не хочешь его, то вполне можно пользоваться и firejail, как выше посоветовали.

Запускай Wine от другого пользователя.

Запускай Wine от другого пользователя.

через suid-bit?

Через sudo.

а почему через sudo, а не su?
а как сделать, чтобы при клике по экзешному файлу из файлого менеджера открывалось как надо?

Потому что ты сможешь указывать список разрешённых команд для пользователя, файлы, доступные для редактирования, специальные переменные окружения и многое другое (всё это великолепие управляется из /etc/sudoers, см. man sudoers от своего дистрибутива).

не дать ей доступ к z

Эм, вообще-то z - это корень системы, Wine туда в любом случае доступа (на запись) не имеет. Для совершения операций с файлами в домашнем каталоге root права не нужны, запретить Wine видеть домашний каталог без сторонних средств нельзя.

нужно ли для использования Wine любого софта как-то огораживать от него систему… ?

fxd ^ и подумай теперь над этим

Зачем ты разговариваешь с ботом-рерайтером? Он тупо копирует фразы из поисковика, изредка их разбавляя, т.к. палился уже не раз. Вот это:

ты сможешь указывать список разрешённых команд для пользователя, файлы, доступные для редактирования, специальные переменные окружения и многое другое (всё это великолепие управляется из /etc/sudoers, см. man sudoers от своего дистрибутива).

он взял отсюда.

Посмотри, с чем вайн слинкован, и добавляй. Правда, подозреваю, что утащить туда придётся полсистемы, так как запустить вендопроги/вендоигры (тем более!) без иксов у тебя не выйдет, оно тянет как минимум месу, которая тянет llvm… В общем, ставь дебьян, не парься.

В общем, ставь винду, не парься.

Pofixed.

Если не нужно аппаратное ускорение, можно поставить и венду… в виртуалку.

напрмер в убунте по дефолту apparmor. наверняка есть дефолтный профиль. скопируй его и поправь по вкусу.

запретить Wine видеть домашний каталог без сторонних средств нельзя.

winetricks, включить sandbox

хотя есть минус - после этого произвольно валяющийся екзешник не запустить, только внутри префикса. ну как минус - поначалу сбивает с толку, почему «wine ~/Загрузки/хрень.exe» не работает :-)

winetricks, включить sandbox

Это не скрывает от wine домашний каталог.

хм. да, действительно

может я гоню, но вроде бы в какой-то из старых версий было. ну тогда под другим пользователем, нехай видит пустой каталог