LINUX.ORG.RU
ФорумDesktop

Графическое приложение в контейнере, какой выбрать?

 , , ,


0

1

Есть необходимость иметь графическое не полностью доверенное приложение в контейнере и запускать пару копий от разных пользователей не перелогиниваясь, чтобы оно не имело доступ ни к хомяку, ни ко всей ФС, ни к сетевым интерфейсам и моему реальному ip. Пусть свои настроечки хранит, и никуда не лезет.
Это планируется делать в виртуалке, где есть и другие задачи. Запускать ещё одну машину только для одного приложения, кажется неразумным расходом ресурсов и времени. Сразу в голову приходит использовать контейнер. Нашёл разные инструкции для запуска из контейнера Docker с расшариванием X11 сокета хоста (например, это), а так же из lxc контейнера (например, такая)
Какой способ будет наименее требователен к ресурсам (т.к. запускается уже на виртуалке) и оптимальным решением?
Знаю про firejail, но мне не хотелось бы настраивать ещё из-за него apparmor, да и вообще, не очень понравился.

★★★★★
fvwmbuttom
Запуск initrd и EFISTUB

man bwrap

firejail не требует AppArmor, но он всё равно говно.

anonymous
()

Есть необходимость иметь графическое не полностью доверенное приложение

Виртуалка.

Запускать ещё одну машину только для одного приложения, кажется неразумным расходом ресурсов и времени.

А что поделать, ИМХО, виртуалка это старое проверенное решение.

Какой способ будет наименее требователен к ресурсам (т.к. запускается уже на виртуалке) и оптимальным решением?

Неужели у такого крутого пацана проблемы с ресурсами?

anonymous
()
Ответ на: комментарий от anonymous

Неужели у такого крутого пацана проблемы с ресурсами?

Время и удобство - это тоже ресурс, правда? Понятно, что я могу поставить в отдельную машину только хоть голые иксы, и не выделить ей вообще почти ничего, но мне придётся ждать полной загрузки системы. Да, у меня ssd, но ведь это всё равно дольше.

Кроме того, я упомянул, что не хочу давать доступ к реальному ip. Это если нужно приложение в двух экземплярах, на каждом хосте пришлось бы запускать впн отдельно, но оно всё равно имело доступ к моему реальному ip. Поднимать впн снаружи, для всей системы и включать мост для виртуалки, мне не представляется необходимым, или разумным.

fehhner ★★★★★
() автор топика
Ответ на: комментарий от fehhner

мне придётся ждать полной загрузки системы

Даже виртуалбокс умеет сохранять состояние памяти и клонировать машины.

xDShot ★★★★★
()
Ответ на: комментарий от xDShot

Даже виртуалбокс умеет сохранять состояние памяти и клонировать машины.

Окей, вот ладно, дополнительная виртуалка. А как быть с этим?

Кроме того, я упомянул, что не хочу давать доступ к реальному ip. Это если нужно приложение в двух экземплярах, на каждом хосте пришлось бы запускать впн отдельно, но оно всё равно имело доступ к моему реальному ip. Поднимать впн снаружи, для всей системы и включать мост для виртуалки, мне не представляется необходимым, или разумным.

fehhner ★★★★★
() автор топика
Ответ на: комментарий от fehhner

не хочу давать доступ к реальному ip.

Машину через прокси. Тор там например.

xDShot ★★★★★
()

Нашёл разные инструкции для запуска из контейнера Docker с расшариванием X11 сокета хоста

Я так делал. Гемор полнейший. На некоторых дистрибутивах работает, на других нет - появляется прозрачное окно с рамкой и всё. Причём может перестать работать после обновления библиотек. Так и не понял в чём дело.

Тебе наверное нужно смотреть в сторону flatpack.

ox55ff ★★★★★
()

если, судя по тегам, предполагается запускать это в арче, то вероятно получится обойтись юнитами systemd без всяких докеров.

https://www.freedesktop.org/software/systemd/man/systemd.exec.html#Sandboxing - там явно перечислены опции для защиты хомяка и сетевых интерфейсов. А иксовый сокет можно и прокинуть.

Lrrr ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
fvwmbuttom
Desktop
Запуск initrd и EFISTUB