рассовать приложения по контейнерам и будет счастье?

Ну и само собой, это дополнительный уровень безопасности.

:D

Особенно когда в приложении находят дырень, латают и все обновляются, а ты спокоен как удав, ведь в контейнере безопасность и лучше не обновлять чтоб не сломать.

Пакетная система иногда ломается,

Есть flatpak.

лучше не обновлять чтоб не сломать.

Что можно сломать обновляя gimp в контейнере?

Есть flatpak

Сколько видел в интернете сайтов с по, нигде ещё не встречал ссылок «скачать flatpak пакет»

Тот же гимп есть во флатпаке.

Что можно сломать обновляя gimp в контейнере?

А смотря что за контейнер и как собран.

Oneclick install: https://flathub.org/repo/appstream/org.gimp.GIMP.flatpakref

ЮСколько видел в интернете сайтов с по

Свалки крякнутого виндового софта?

Справедливости ради: много чего распространяют в готовых докер-образах, так что можешь посмотреть в сторону него.

Свалки крякнутого виндового софта?

Нет. на оф.сайтах конкретных программ для линукс. например на сайте языка D предлагают ставить компилятор через apt-get,wget или docker.

А смотря что за контейнер и как собран.

например вот, я так понимаю тут можно без вреда прописать from ubuntu:latest и нормально обновлять пересборкой контейнера. Благо,номера версий софта не указаны.

Пакетная система иногда ломается, такое бывает и у меня и у других

Крайне редко в нормальных дистрибутивах. И даже если так, то зачем контейнеры? Есть же snap или flatpack.

Система CentOS/Fedora с включённым Selinux. Приложения с UI опакетить во flatpak или скачать с flathub. Для управления контейнерами использовать podman, для создания buildah. Очень интересная штука Fedora-toolbox.

то зачем контейнеры?
Есть же snap или flatpack.

Вы так говорите, будто flatpak принципиально от контейнеров отличается. Там все те же инструменты, только организовано несколько иначе, с оптимизацией под десктоп. Да и потом, будто контейнеры что-то страшное и ужасное, они же на основе тех же самых дистров делаются, что и без контейнеров, и версии библиотек там те же.

Ставь Fedora Silverblue или Fedora/CentOS Atomic Host. Тут podman, который лучше, в плане безопасности, чем docker.

У тебя каша в голове. Ты до конца не понимаешь отличие flatpak от контейнеров (docker и прочие).

Для обычного пользователя Fedora Silverblue устанавливать пока рано. Релиза 2-3 стоит подождать.

Ты ищешь qubes os. Докер сам по себе — совсем не для этого.

В чем именно рано? Сейчас могут быть проблемы только с проприетарными дровами nvidia.

И кто такой обычный пользователь? Явно не ТС с такими хотелками.

Посмотри в сторону nix/guix.

докер подойдёт, или лучше использовать другую систему контейнеризации?

PBI или Jail. В Jail можно сделать Nullfs на общую базу установленного софта, чтобы сэкономить место. В PBI каждое приложение носит всё с собой.

Для управления контейнерами использовать podman, для создания buildah.

Зачем нужно это мёртвое знание, если востребован Docker?

Ну сделай себе alias docker=podman, раз docker так востребован.

Ошибаешься. Архитектурно podman/buildah/skopeo лучше монолитного Docker. С ближайшее время он начнёт откусывать часть «контейнерного» пирога. Systemd тоже не сразу проник во все популярные дистрибутивы.

Хорошая идея, я так у себя все свои сервисы и wine вынес в контейнеры. Теперь не надо засорять зависимостями хосты и можно вносить изменения сразу на нескольких компьютерах (мои контейнеры используются на 3 компьютерах).

Wine спокойно живёт во flatpak. Собираешь flatpak, свой репозиторий, пользуешься.

UI приложения не должны жить в Docker и прочих контейнерах. Для этого были придуманы flatpak, snap, appimage пакеты.

А кто запретит мне гуи приложения юзать из докера? Да и зачем мне плодить сущности, когда докер все равно нужен для остального, чего бы в него не сунуть и wine? Не поднимать же флатпак ради одного вайна на всех системах.

Зачем изобретать что-то другое, если с помощью колуна можно рубить дрова, забивать гвозди. Зачем пользоваться кастрюлей, если в глубокой сковороде можно сварить суп. СУК. Логика ваша отменная.😂

Что угодно архитектурно лучше Docker, но как было не нужно, так и остаётся.

монолитного

Не совсем:

alice % uname -a
Linux alice 4.18.0-13-generic #14~18.04.1-Ubuntu SMP Thu Dec 6 14:09:52 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
alice % docker run busybox uname -a
Linux e7cd61e20e60 4.14.67-6.container #1 SMP Thu Jan 10 13:13:41 UTC 2019 x86_64 GNU/Linux

Пока в RedHat изобретали более безопасные контейнеры, их уже максимально безопасными без vendor lock-in.

их уже максимально

* их уже сделали максимально безопасными

я смотрю мне тут предложили много интересных альтернатив. вопрос: а чем докер не устраивает? можете сказать «докер плох потому что он...»?

имхо, докер лучше так как он в отличие от флетпака ставит проги из репозитория ubuntu, а практически все программы которые мне нужны лежат там, и в отличие от qubes более производителен

В Jail можно сделать Nullfs на общую базу установленного софта, чтобы сэкономить место

в докере такое тоже есть.

Jail

фряха имеет странный баг, из-за которого она может не устанавливаться, даже админы на оф.форуме ничем мне не смогли помочь. А для меня важен практический результат. Если ОС отказывается устанавливаться, я начинаю задумываться, так ли она нужна.

столкнулся с программой, которой не было в репозитории, но которая была представлена во Flatpak. а серверная часть предлагалась в руководстве к установке через Docker. первая мысль была: «установка в контейнер что-то неестественное для системы и как-будто чужеродное». хотелось осуществить установку из исходников. но вот что удивительно - сама программа ещё на ранних стадиях и активно развивается (т.е. сырая) - так зачем ковырять ею систему с риском нарушения зависимостей или появления какой-то ошибки, если можно поставить в контейнер (который тут будет выполнять роль песочницы для незрелой программы) и пусть она там варится. так что именно для этого конкретного случая для этой конкретной программы был выбран вариант контейнериизации. немного жаль, что для одной лишь программы на сервере нужно ставить объёмистый Docker, но даже тут это относительно (~300 МБ не так уж и много).

но использовать концепцию контейнеризацию как базовую для дистрибутива - мне на интуитивном уровне кажется неправильным:

во-первых, если так, то мы принимаем за аксиому, что существуют конкретные проблемы с безопасностью ОС, тогда уж проще не включать компьютер или решать вопрос кардинально в разработке более совершенной ОС; во-вторых, это противоречит философии GNU/Linux, превращая систему в нечто Windows-подобное (особенно с позиций возможности существования в контейнерах и в их репозиториях ПО с мутным происхождением и лицензией).

Ну и само собой, это дополнительный уровень безопасности

И уязвимости.