Полная изоляция GUI приложений в Linux

Ставь дистрибутив с кедами и не страдай.

При этом нет никакого желания тащить в систему половину KDE и кучу либ

чё за тупак? без этой кучи либ просто не будет работать то, что их использует

и чё за «в систему»? ты думаешь есть какая-то магическая разница между /usr/lib/ и /opt/lib/ ?

без этой кучи либ просто не будет работать то, что их использует

я рассчитываю изолировать эту кучу либ. таким образом они будут находится внутри контейнера и не создавать помойку в системе.

т.е. ты хочешь lxc?

ты можешь сложить их рядом с приложением, главное чтобы ld.so был в состоянии их найти

Flatpak. /thread

настройка GUI там какая-та мутная

Настройка GUI там совершенно элементарная. Достаточно дать контейнеру доступ к X сокету. Возможно, еще понадобится DRM и MIT-SHM, в зависимости от приложения.

Что можно использовать для этих целей?

• https://www.qubes-os.org/
• LXC/LXD

Appimage, Flatpak, Snap.

Используй snap/flatpak/appimage.

Почему никто не сказал про пакетный менеджер Nix?

Первое, что приходит на ум это docker контейнер

Нет. Первое и единственное что приходит на ум это flatpak.

Можно AppImage ещё склепать, только возможно будут трудности с переносимостью и размером сего чуда, правда изоляция будет не полная, но библиотеки встроить можно, правда опять же больно, поэтому докер возможно будет проще.

Fedora Silverblue или openSUSE MicroOS Desktop, но второй еще в начале своего развития. Либо просто Flatpak на привычном тебе дистре. Если интересует изоляция, то следует держаться этого, ничего сильнее такому направлению развития не соответствует.

Да, ты именно хочешь Flatpak. Когда ставишь Qt/KDE приложение загружается оно и рантайм с либами, они хранятся отдельно от системы и не засоряют её, ни $PATH, а в систему лишь пробрасывается desktop файл, иконка и appdata, для интеграции в список установленных приложений.

Snap очень просто собрать в большинстве случаев. С Flatpak работы может быть гораздо больше (придётся собирать зависимости), но тоже жить можно.

Достаточно дать контейнеру доступ к X сокету.

Недостаточно. Там ещё нужно dbus, доступ к звуку + пользователь должен быть готов, что открыть/сохранить файл работает несколько непривычно. Всё это преодолеваемо, но зачем, когда есть Guix?

доступ к X сокету

разве иксы можно нормально изолировать?

dbus

доступ к звук

При чем тут X11?

разве иксы можно нормально изолировать?

Контейнеры – это не про изоляцию и не про безопасность.

Для изоляции виртуалки, на худой конец firejail, а для страдания фигнёй при обострении тулкитофобии флатпак.

для страдания фигнёй при обострении тулкитофобии флатпак

Это чтобы ставить telegram с 1 ГБ зависимостями от KDE.

Моментально вылечит от любой тулкитофобии

При чем тут X11?

При том, что для того, чтобы запущенное в контейнере приложение работало так же, как и запущенное вне контейнера, придётся сделать несколько больше телодвижений, чем только пробросить X-socket.

но настройка GUI там какая-та мутная

А в чем мутность-то? Внутри иксы должны быть, извне контейнера их дергаешь. Как-то так:

docker run -it --net=host -e "TERM=xterm-256color" -e DISPLAY -v /tmp/.X11-unix container/name bash -l