Firejail стар и скорее мёртв, чем жив.
Я советую Bubblewrap - проще некуда. Если нужно что-то посложнее (и посекурнее) - непривилегированный LXC.

Я бы предпочел посекурнее. Значит LXC. А если docker (вроде он полегче)? Я знаю, что он не задумывался, как песочница, поэтому неуверен, насколько он полезен в этом качестве.

ИМХО, докер сложнее в обращении, и ещё сложнее для графических приложений.

вроде он полегче

Нет, совсем наоборот.

chroot в gentoo-hardened ядре

бинарники из левых источников

безопасность

qemu без аппаратной виртуализации, но это менее безопасно чем bochs и прочие подобные

docker

Докер не имеет никакой связи с безопасностью.

gentoo-hardened ядре

Ну я же просил попроще.

qemu без аппаратной виртуализации, но это менее безопасно чем bochs и прочие подобные

Почему?

А LXC, значит, имеет?

kvm/virtualbox

Слишком тяжело (по сис. требованиям) и по удобству. Запускать виртуалку каждый раз, когда надо запустить что-то недоверенное не очень удобно. Я уверен, есть решения поудобнее.

Выбора особо нет. Либо виртуалка, либо контейнеры. На текущий момент третьего ещё не придумали.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=kvm

https://www.cvedetails.com/vulnerability-list/vendor_id-7506/opec-1/Qemu.html

execute arbitrary code on the host

ну ты понял, высокая производительность достигается только путём значительного снижения надёжности и безопасности, и kvm особо славится простотой эксплуатации уязвимостей на хосте (хотя и без этого дыр достаточно) — годами исправляют, исправляют, и никак не исправят.

Не исключено, что и проплатили спецслужбы для себя.

На мой неискушенный взгляд - контейнеры как-то попроще будут (в плане удобства).

А если сравнивать bochs и пр. vs LXC? Есть какие-то преимущества у первого?

QubesOS, с чистой AppVM. Безопаснее контейнеров и удобно.

Я Д'Артаньян, а вы ничего не понимаете

что сейчас используется для sandboxing'а?

Смотря чего.

Задача проста: ... Надо ... максимальную ... с минимальными затратами.

Лизни розетку.

есть недовереннные приложения (бинарники из левых источников).

Либо вируальные машины, либо контейнеры. Все эти ваши сраные lxc, докеры, фаерджейлы и прочая контейнерота в линуксе построены вокруг namespaces, cgroups и seccomp. Вся их безопасность концептуально ничем не отличается и зависит только от количества багов, которые их авторы допустили. Рулетка короче.

С графическими приложениями сложнее, чем с консольными. В иксах там были какие-то заморочки, что они могут читать весь клипборд и всю клавиатуру. Как оно в вяленде - поттеринг его знает. В фаерджейле эту проблему решали отдельными иксами, но я в этом не копенгаген.

Безопаснее контейнеры или виртуальные машины - учёные спорють. У виртуальных машин гипервизор - это дополнительная площадь для атаки. У контейнеров бывают неожиданные эффекты от расшаривания ядра. Опять рулетка.

Зы: Макском, сцуко, прикрути нормальную капчу.

построены вокруг namespaces, cgroups и seccomp.

Вся их безопасность ... зависит только от количества багов, которые их авторы допустили

Сам себе противоречишь. Безопасность обеспечена механизмами в ядре, но зависит от багов в прикладных утилитах.

Безопасность обеспечена механизмами в ядре, но зависит от багов в прикладных утилитах.

Если прикладные утилиты херово заюзают механизмы в ядре, то вся безопасность - пшик.

chroot

И как же, например, можно хреново заюзать пространство имён пользователей?

И как же, например, можно хреново заюзать пространство имён пользователей?

Например можно очепятаться и не заюзать его вообще.

Действительно. А можно вообще случайно не включить изоляцию, никто же не заметит.

включить изоляцию

Что значит «включить изоляцию»?

То же, что и «не заюзать его вообще», только не заюзать вообще ничего.

То же, что и «не заюзать его вообще», только не заюзать вообще ничего.

Ну попробуй, только файловую систему заизолируй, а остальное оставь. Потом расскажешь, сколько опрошенных заметило подвох.

Firejail стар и скорее мёртв, чем жив.

21 час назад последний коммит был сделан. Ты поехавший?

Если хочешь совсем, то виртуальную машину ставь и обмазывай патчами против Meltdown и Spectre. И то гарантии никакой не будет, так как в процессорах может быть ещё куча неизвестных широкому кругу лиц уязвимостей.

Собственно, Docker - это костыли над LXC. Так что да - тоже имеет.

В виртуалке проверяешь, доверенное или нет. Потом как доверенное пускаешь в основной системе. Можешь через qemu-user попробовать запускать.

Контейнеры хороши для разграничения честных и доверенных приложений. Для недоверенных тебе нужна виртуализация, а ещё лучше - эмуляция.

У bochs преимущество в том, что это эмулятор. Надо специально под него под писать и выискивать в нём уязвимости для того, чтобы пробиться в хост. Недостаток в том, что он далеко не всё поддерживает, поэтому придётся идти на компромисс и использовать qemu, который, кстати, тоже эмулировать умеет, но быстрее. Qemu как раз как быстрый эмулятор и создавался, а потом к нему модуль kqemu для виртуализации прикручивали.

В иксах там были какие-то заморочки, что они могут читать весь клипборд и всю клавиатуру.

firejail уже научился и это ограничивать.

Как оно в вяленде - поттеринг его знает.

Даунята, которые делают вяленого, так уверены в тотальной изоляции своего высера, что пропустили мимо себя рабочую реализацию кейлоггера для вяленого.

В фаерджейле эту проблему решали отдельными иксами, но я в этом не копенгаген.

Не совсем, но близко. Проблема решена с помощью Xpra.

В виртуалке проверяешь, доверенное или нет

Сложна. Сразу так не скажешь - нормальное или нет. Оно может заявленную функцию свою выполняет, а параллельно тащит файлы из системы или перехватывает клавиатуру. Мне теперь forensic analysis для каждого приложения делать? Этак я до конца жизни сидеть буду.

Я просто хочу по-умолчанию подозрительные (не из реп) приложения всегда запускать в песочнице. И не важно, «хорошие» они или нет. К тому же, приложение может быть «хорошим» (фф, например), но через дыры в нем могут тебя поиметь. Такие тоже лучше изолированно запускать.

Firejail стар и скорее мёртв, чем жив.

Я, кстати, пожел к ним в жыдхаб, и, судя по коммитам, они живы.

И в догонку узнал, что

1. Во фряшечке есть jail из коробки (и, судя по описанию, довольно хороший, особенно в сочетании с zfs)

2. В debian, который я использую, не завезли LXD (пилят), а LXC - второй версии (тоже в процессе обновления, емнип).

3. В OpenBSD, как я понял, почти ничего не завезли, что прискорбно - хотел попробовать на одной машине.

К тому же, приложение может быть «хорошим» (фф, например), но через дыры в нем могут тебя поиметь. Такие тоже лучше изолированно запускать.

Apparmor.

Для действительно потенциально вредоносных программ только виртуалка.

Тред до конца не дочитал, но попробуй вагрант, оно реально удобно.

Поднимается одной командой.

Если только под чрутом, под неймспейсами, в виртуалке, с селинуксом (хотя не, это nsa и шапка — они не trustworthy, как это принято говорить) где-нибудь сбоку и на hardened ядре. Сами по себе все эти защиты обходятся достаточно тривиально и стоимость их пробития не очень высока. Чем дороже пробить защиту, тем меньше вероятность, что кто-нибудь найдёт это целесообразным. Вроде даже раньше виртуалки пробивала каждая вторая малварь.

Apparmor

firejail, вроде, поддерживает профили apparmor.

Для действительно потенциально вредоносных программ только виртуалка.

Я пытаюсь найти компромисс между удобством и безопасностью (да, я знаю, что его - этого компромисса - не существует), поскольку я не от моссада прячусь (и вообще, это не для меня, а для некоторых людей, любящих запускать всякие непонятные бинарники в системе).

firejail, вроде, поддерживает профили apparmor.

Как поддержка на случай, если firejail окажется дыряв, я особо не пользовался, потому что лень было ковыряться, но на первый взгляд сделано не удобно.

Я пытаюсь найти компромисс между удобством и безопасностью (да, я знаю, что его - этого компромисса - не существует), поскольку я не от моссада прячусь (и вообще, это не для меня, а для некоторых людей, любящих запускать всякие непонятные бинарники в системе).

Собирай всё что собирается сам. А не тащи непонятные бинарники из интернетов.

Я у себя на системе полигон не устраиваю, потому виртуалки редко запускаю, но всякую «доверенную» проприетарщину и программы типа браузера огораживаю двумя способами: если это что-то на разок запустить и удалить, либо если это игры, которые надолго не задержатся, то запускаю в firejail, если это что-то что в системе задержится, то огораживаю apparmor.

Плюс firejail для игр ещё в том, что в нём легко настроить другую огороженную директорию в качестве хомяка, а потому все сохранения и настройки хранятся в этой отдельной директории, а не засирают стандартный хомяк.

Алсо, возможно ещё флатпаки будут хороши для такого, когда их допилят.

Во фряшечке есть jail из коробки (и, судя по описанию, довольно хороший, особенно в сочетании с zfs)

Ты если solaris zones попробуешь, вообще прифигеешь от сочетания с zfs, fma, smf и ко.

Можно ли её ставить на рабочую станцию частному лицу сейчас? В порядке освоения стека технологий естественно. Или придётся лицензию покупать? А то линукс катится куда-то не туда.

Ну я вот думаю, если линукс совсем укатится, можно перезжать на фряшку (хотелось бы на опенок, но там плохо с дарйверами и виртуализацией).

Да, можно. OpenIndiana как альтернатива.

Мне теперь forensic analysis для каждого приложения делать? Этак я до конца жизни сидеть буду.

Тогда меняй свой подход к доверию софту. Другого пути нет.

если firejail окажется дыряв

Firejail - это обёртка над имеющимися механизмами изоляции. Так что тут по сути надежда на то, что эти механизмы не будут дырявыми. Так что там всё скорее как поддержка на всякий случай.

Flatpak - это бессмысленные чудовище Франкенштейна. Защищает ничуть не лучше остальных средств. Да и тот же AppImage поддерживает firejail.

На фряхе всегда всё было плохо и всегда будет так. На опёнке вообще считай, что ничего нет и не будет.

Надо запустить их, обеспечивая максимальную безопасность с минимальными затратами.

чрут в помощь

Firejail стар и скорее мёртв, чем жив.

На днях была новая версия, профилей ещё добавили вагон.