Десктопный Linux с песочницей из коробки

0

2

На техническом уровне все дял песочницы есть: cgroups, netns, netfilter, selinux/apparmor, но есть ли готовый дистрибутив в котором приложения по дефолту запускаются запесоченными (ну если точнее, то есть корень с базовой системой: ядро, драйвера, либы, init, xorg/wyland и пр., который монтируется в ro и обновляется атомарно в идеале) и права доступа регулируются через единые файлы профилей (ну что бы не настраивать все необходимое по отдельность, а в одном файле указать что разрешают доступ к следующим устрйоствам и кускам в файловой системе)?

Ссылка

←	Что из классических DE поддерживает Wayland?

Fedora перестала видеть второй монитор, подключенный в HDMI

→

есть ли готовый дистрибутив в котором приложения по дефолту запускаются запесоченными

https://www.qubes-os.org/intro/

vvn_black ★★★★★
(23.03.20 09:33:01 MSK)

Ответ на: комментарий от vvn_black 23.03.20 09:33:01 MSK

Пробовал его, но там overhead на виртуализацию нехилый. И вроде были новости что гравный разработчик ужел с проекта.

Kolins ★★★★★
(23.03.20 09:42:53 MSK) автор топика

Flatpak.

anonymous
(23.03.20 09:52:18 MSK)

Возможно я ошибаюсь, но звучит будто тебе нужен Clear Linux.

Polugnom ★★★★★
(23.03.20 09:52:59 MSK)

Ответ на: комментарий от Polugnom 23.03.20 09:52:59 MSK

Ошибаешься. Но там тоже можно юзать флатпак.

anonymous
(23.03.20 09:56:38 MSK)

Ссылка

Ответ на: комментарий от Kolins 23.03.20 09:42:53 MSK

Тогда такой вариант, загружаешься с любимой флешки/раздела РО, а приложения запускаешь из LXD/LXC контейнеров.

Не знаю, есть ли такое готовое, как вариант проксмокс в качестве интерфейса. Но это ли не повод разобраться во всём самому?

vvn_black ★★★★★
(23.03.20 09:59:39 MSK)

Ответ на: комментарий от vvn_black 23.03.20 09:59:39 MSK

хочется именно готовое решение, чтобы можно было не только себе но и знакомым советовать и не поддерживать их потом. Так то как запустить прогу в lxc или ограничить сеть по netns я знаю, но это надо все руками делать. Ну есть fairjail конечно, это уже готовое решение, но оно больше для «точечного» ограничения в обычных дистрибутивах.

Kolins ★★★★★
(23.03.20 10:58:28 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 23.03.20 09:52:18 MSK

Где почитать подробнее?

Kolins ★★★★★
(23.03.20 10:59:13 MSK) автор топика

Ответ на: комментарий от Polugnom 23.03.20 09:52:59 MSK

Оно разве не на облачные сервера нацелено?

Kolins ★★★★★
(23.03.20 11:00:17 MSK) автор топика

Ссылка

Ответ на: комментарий от Kolins 23.03.20 10:59:13 MSK

https://docs.flatpak.org

anonymous
(23.03.20 11:02:24 MSK)

Ссылка

Ответ на: комментарий от Kolins 23.03.20 09:42:53 MSK

Не совсем понятно, что ты хочешь. Если виртуализация, то выше дали ссылку. Если контейнеры, то флатпак на почти любой дистрибутив. Но в случае контейнеров выше шансы на обход песочницы.

(Впрочем, из виртуальных машин тоже сбегают, дыр везде полно)

anonymous
(23.03.20 11:06:56 MSK)

Ответ на: комментарий от anonymous 23.03.20 11:06:56 MSK

Если контейнеры, то флатпак на почти любой дистрибутив.

Сккорее это. Только дистрибутив заточенный под запуск ПО таким образом. Но мне как-то думалось, что flatpack только за доставку софта отвечает, а тут вот оно как выходит. Можно попробовать nixos+flatpack, базовую ОС и DE поставить и описать в конфиге nixos, а весь прикладной софт через flatpack ставить.

Kolins ★★★★★
(23.03.20 11:35:11 MSK) автор топика

Ответ на: комментарий от Kolins 23.03.20 11:35:11 MSK

можно посмотреть в сторону Endless OS в таком случае

LordTermor ★★
(24.03.20 11:11:38 MSK)

Ответ на: комментарий от LordTermor 24.03.20 11:11:38 MSK

Посмотрю, я его тыкал палочкой год назад, но тогда не задумывался про песочницу для процессов.

Kolins ★★★★★
(24.03.20 13:42:13 MSK) автор топика

Ссылка

Ответ на: комментарий от Kolins 23.03.20 11:35:11 MSK

Можно попробовать nixos+flatpack, базовую ОС и DE поставить и описать в конфиге nixos, а весь прикладной софт через flatpack ставить.

Недавно такая же идея проскакивала. Если таки сделаешь – отпишись на форуме, а то резко время на это всё пропало, но интересно узнать, как это всё в итоге работает.

Princesska ★★★★
(24.03.20 13:58:32 MSK)