Какие инструменты контейнеризации/виртуализации использовать?

0

2

Какие инструменты лучше использовать в целях ограничения доступа к ресурсам программам, которые в этих ресурсах не нуждаются?Например, изолировать видимые для браузера директории, оставив только специально приготовленную папку загрузок и т.д. Я читал про firejail и некоторое время его использовал, но мне несколько не понравилась его философия и вытекающие из неё часто находимые уязвимости. Слышал про Bubblewrap, но не то что не имею опыта работы с ним, но даже не видел статей, посвященных ему. Если я все правильно понимаю, то это инструмент, напрямую связанный с Flatpak. Позже я заинтересовался вопросами виртуализации и контейнеризации, наткнулся на статейки по Docker и LXC/LXD. Я бы хотел узнать, можно ли запускать различные программы с графическим интерфейсом (допустим, проприетарные, а-ля Google Chrome или Steam) с такой же легкостью, как и через firejail. Я, конечно, понимаю, что мог напутать чего-нибудь в терминах, но хотелось бы сразу уточнить, что я еще совсем зеленый новичок. (Не бейте за орфографию и пунктуацию)

←	Помогите настроить apparmor профиль для огнелиса

Сказ про то, какую openSUSE Leap свинью подкинула

→

Проще всего с точки зрения юзера — firejail. Docker — оверкилл, если firejail’а хватает. Не нравится философия firejail, тогда bubblewrap и самописные скрипты для него. Правда, вангую, что когда оно обрастёт удобными вам скриптами, получится по сути тот же firejail, только из говна и палок.

Я, конечно, понимаю, что мог напутать чего-нибудь в терминах, но хотелось бы сразу уточнить, что я еще совсем зеленый новичок.

На всякий случай: Docker — это контейнеризация. Firejail и Bubblewrap — сэндбоксинг. Вещи совсем разные, хотя часть областей применения пересекается. В общем случае, если нужно просто огородить программу от остального, достаточно сэндбокса, и городить контейнеры не стоит — из пушки по воробьям.

CrX ★★★★★
(07.04.23 16:56:17 MSK)
Последнее исправление: CrX 07.04.23 16:58:56 MSK (всего исправлений: 3)

Ответ на: комментарий от CrX 07.04.23 16:56:17 MSK

Можете посоветовать руководство по bubblewrap? Просто ни на archwiki, ни где-либо еще ничего нет…

keklol123
(07.04.23 16:59:42 MSK) автор топика

Ответ на: комментарий от keklol123 07.04.23 16:59:42 MSK

Точнее есть, но несерьёзное

keklol123
(07.04.23 17:00:34 MSK) автор топика

Контейнеризация — такая себе мера безопасности, поэтому только виртуализация.

t184256 ★★★★★
(07.04.23 17:06:36 MSK)

Ответ на: комментарий от keklol123 07.04.23 16:59:42 MSK

Мне хватило man bwrap + man capabilities, когда игрался с ним. В принципе всё понятно. Но в итоге я откатился обратно на firejail, когда понял, что в итоге у меня получается по сути он же, только на баше

CrX ★★★★★
(07.04.23 17:07:17 MSK)

Ответ на: комментарий от t184256 07.04.23 17:06:36 MSK

Да, не спорю, но хочется не то чтобы сильно обезопасить, а скорее лишить программу ненужных ей для нормальной работы возможностей.

keklol123
(07.04.23 17:09:06 MSK) автор топика

Ответ на: комментарий от CrX 07.04.23 17:07:17 MSK

Спасибо за совет

keklol123
(07.04.23 17:11:26 MSK) автор топика

Посмотри эту тему

Аналог Sandboxie для Linux

примерно то же самое обсуждается

greenman ★★★★★
(07.04.23 18:17:30 MSK)

Ответ на: комментарий от t184256 07.04.23 17:06:36 MSK

а это точно?

Pinux001 ★
(07.04.23 18:22:05 MSK)

firejail
Bubblewrap

В реальной работе вам эти две вещи никогда не понадобятся, поэтому их изучение – пустая трата времени.

Как правильно отметили выше, контейнеризация и виртуализация – это не про безопасность. Гипервизор – это просто пускалка еще одной копии ядра, ничего сама по себе к безопасности не прибавляющая. Полезно разобраться хотя бы с одной MAC (AppArmor, SELinux).

docker, podman, flatpak – это то, что хотя бы используется в жизни.

i586 ★★★★★
(08.04.23 07:54:29 MSK)

←	Помогите настроить apparmor профиль для огнелиса

Security

Сказ про то, какую openSUSE Leap свинью подкинула

→

Похожие темы