Всем привет. Года 3 уже сижу на Линуксе с виндой в дуалбуте и недавно решил что так продолжать не охотно мне. Мой текущий десктопный сетап с дуалбутом в некоторых моментах крайне затратен по времени и неудобен. В основном я работаю за Linux`ом, а когда мне становится нужно воспользоваться какой-либо виндовой программой, то мне нужно выполнить целый ряд действий и встретится с несколькими ограничениями:
- Перенести на NTFS раздел файлы, c которыми я собираюсь работать там
- Перезагрузится в винду
- Быть готовым писать и отвечать людям в мессенджерах с «неважных» аккаунтов
- А так-же из-за того, что Debian стоит на ext4 в LUKS, а значительное количество файлов в зашифрованных датасетах ZFS - не иметь к ним доступа пока я нахожусь в Windows. (Даже если бы Microsoft и внедрили поддержку хоть чего-нибудь кроме своей всратой NTFS, то я бы не вводил бы там никакие ключи по понятным причинам.)
Как вы уже наверняка поняли, установка Windows у меня на компьютере является чем-то в роде изолированного подвала, где я разрешаю проприетарному софту Microsoft и крякам делать всякий треш, сохраняя основную систему в безопасноти и чистоте.
К счастью есть такая вещь, как изоляция, которая должна позволить мне запускать кряки некоторого Linux софта и программы через wine, прямо под Linux, не давая заглянуть недоверенному софту туда или тронуть того, что трогать не надо. Ну и конечно меньше загружаться в винду. (К сожаления есть софт который заставить работать на линуксе невозможно и игры. У текущих d3d трансляторов с производительностью печально и для меня это критично)
Казалось бы, всё очевидно - устанавливаю firejail, создаю парочку простых профилей…? Profit! Конечно это в идеале…
Но в реальности я сталкиваюсь с проблемами:
- Утилиты к сожаления написаны не так хорошо, как хотелось бы и иногда в них находят эксплойты, которые позволяют выбраться из песочницы в аккаунт юзера. Ладно - создаю отдельного юзера который мало к чему будет иметь доступ.
- Дальше - на сколько защищены иксы по дефолту и если они таковыми не являются, то как настроить их? Кроме того возможно ли безопасно в иксах одного пользователя запустить программу дргуим пользователем? Или же мне придётся использовать что-то вроде VNC или скакать по нескольким TTY? (Не хотелось бы конечно, сильно тормознуто выходит, особенно с VNC) В моем случае DE это KDE на Wayland
И это только те подводные камни, с которыми мне пришлось столкнуться. Наверняка есть ещё таких, пожалуйства напишите про подобные, и как их обойти, если знаете.
После всего этого, я конечно понимаю что даже с изоляцией запускать недоверенный код запускать полностью безопасно - будет возможно никогда. Также про виртуальные машины и докер я знаю, но там проблемы с производительностью и графической отзывчивостью (Например докер хоть и является контейнером, но аппаратное 3D ускорение не поддерживает на AMD), так что на постоянной основе такое использовать будет больно. И от софта сомнительного софта отговаривать меня не надо. К сожалению FOSS софт сегодня не может обеспечить мне некоторых функциональностей и возможностей, к которым я так привык или которые просто есть только в проприетарном софте.
