Как ПРАВИЛЬНО запускать игровые бинарники.

Я через bubblewrap запускаю. Запрещаю игре доступ к сети и ко всем каталогам, кроме отдельного пустого хомяка.

Отдельный юзер. Лучше другой TTY, чем мучения с firejail/bubblewrap/selinux.

правильно запускать

от основного юзера

Это взаимоисключающее.

Cуществует ли компромисс между удобством, производительностью и безопасностью?

Да, отдельная сессия иксов. Я так и не понял чего такого неудобного нажать ctrl-alt-f4 чтоб переключиться на игру и потом ctrl-alt-f7 чтобы вернуться на рабочее место. Юзеры оффтопика обычно для этого нажимают alt-tab - ну, на 1 кнопку меньше, но менее удобно: alt-tab переключает куда попало, а переключение консолей ты сразу выбираешь хоткей куда тебе нужно.

Приветствую вас милорд, кажется вашу сборку Cyberpunk 2077 я и пытаюсь запускать!

Ну например я хочу запускать софт в своей же сессии, в окне, а не в tty. Иначе при переключении tty это становится совершенно другой компьютер с другой сессией, удобства мало.

Это я понял, но я так и не понял зачем.

это становится совершенно другой компьютер с другой сессией, удобства мало

Да нет, комп к сожалению всё тот же и уязвимости остаются. Но ты хотел компромисс, поэтому можно на этом остановиться. А так, если б компы не стоили денег и не занимали место, то самым удобным было бы иметь по отдельному компу под каждую игру, в которую ты играешь, и под каждый другой вид компьютерной активности, которым ты занимаешься.

Идея запихивания всего подряд на одно устройство родилась не от хорошей жизни, это тупо экономия финансов на покупку и/или места под размещение железа.

Через bubblewrap все довольно просто. Например, ты хочешь запретить приложению доступ к своему реальному хомяку, подсунув игре левый пустой хомяк. Это можно сделать так:

$ mkdir ~/newhome
$ bwrap --bind / / --dev-bind /dev /dev --tmpfs /home --bind ~/newhome "${HOME}" application

Можешь вместо application написать, например, gnome-terminal (или какой там у тебя эмулятор терминала) и через него посмотреть, что в файловой системе в итоге осталось доступно.

Это простой пример, без усложнения. Естественно, если у тебя, допустим, примонтирован /mnt или /media или /run/user/ID/media, то в данном случае это все будет доступно приложению, я в этом примере только хомяк скрыл. Однако при желании можно скрыть и другие каталоги все так же через параметр --tmpfs.

А как это сеть запрещает, по умолчанию?

По умолчанию не запрещает, можно запретить через параметр --unshare-net.

Как правильно запускать на основной машине, от основного юзера игры

включашь плойку, садишься жопой на любимый диван, берешь в руки геймпад, выбираешь игру, жмешь крестик и гамаешь

гамаешь

Ага. Тушишь задницу когда сначала нужно апдейт установить, потом в нужной стране оказаться, потом убедить себя что 34 кадров - это нормально.

Геймпад и диван - не прерогатива консолехолопов, у меня и с пекарней так же

Почему именно bubblewrap, а не firejail –whitelist=/home/user/ ?

Кроме того, проблема в том, что запуская в песочнице или через su -l user2, тот же Cyberpunk 2077 не работает из-за отвала proton(кажется) и прочих подобных сервисов.

Потому что мне нравится bubblewrap.

Кроме того, проблема в том, что запуская в песочнице или через su -l user2, тот же Cyberpunk 2077 не работает из-за отвала proton(кажется) и прочих подобных сервисов.

У меня работает. Я еще не встретил ни одной игры, которая не работала бы под песочницей.

Скажи пожалуйста, ты играешь в основной сессии и изолируешь бинарники через bubblewrap?

Да.

Из коробки в firejail не заработала стим версия евки. У нее свой лаунчер на электроне, а тот свою песочницу делает и требует для этого дополнительные права

Барен резрешает? Мне вот нет

Ты признаешь своим господином Kron4ek?

Я тоже под bubblewrap запускаю. С игрушками под оффтопик можно ещё Wine, или PortProton в flatpak установить. Внутри тот же bubblewrap используется. Ограничения для flatpak-песочницы командой flatpak override устанавливаются.

Не консоль,а оффтопик надо включать.

Лучший!

ctrl-alt-f7 чтобы вернуться на рабочее место

F1 вообще-то.

Firejail? Bubblewrap?

LXC с rootfs специально для игор

Попробуй другой компьютер и steamlink

Проброс железа в виртуалку. Фаерджайл штука хорошая, но из неё можно легко вылезти как и из всех остальных линупсоидных песочниц, даже Астра смоленск эдишн, которая рассматривается как максимально защищённая СЗИ позволяет делать довольно дикие вещи если ты что-то от кого-то запускаешь, ну например, тебе никто не мешает из любого процесса создать запускаемый скрипт и засунуть его в $PATH в хомяке, прописать гадость в .xresources/.xdefaults/.bashrc и так далее и оно будет выполняться и работать (в том числе сможет спереть твой пароль от рута, как только ты через такой скомпрометированный шел решишь перезайти от админа), т.к. даже астровские эцп на любые бинарики сверху клали на скриптоту. Да, при прямых руках всё можно настроить (если всё вспомнить конечно и всё знать, но вот челики которые вредоносы делают они тоже не дураки и если они знают больше тебя, то ты в дерьме и ни один инструмент тебе не поможет, т.к. инструмента который даст тебе защиту от всего просто нет ни в одной ОС).