forum.opennet.ru - "Релиз системы изоляции приложений Firejail 0.9.78" (57)

"Релиз системы изоляции приложений Firejail 0.9.78"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Релиз системы изоляции приложений Firejail 0.9.78"	+/–
Сообщение от opennews (??), 04-Янв-26, 10:55
Опубликован релиз проекта Firejail 0.9.78, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64553
Ответить \| Правка \| Cообщить модератору

Оглавление

Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и , Аноним (1), 10:55 , 04-Янв-26, (1) –4

Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений, Аноним (9), 11:52 , 04-Янв-26, (9) +7

А во фряхе третьи лица или кто делал такой же jail https www opennet ru openne, Аноним (22), 14:37 , 04-Янв-26, (22) –2

Скрыто модератором, Аноним (53), 22:57 , 04-Янв-26, (53)

ты изолируешь приложения из состава дистрибутива, при этом используешь вторую ча, penetrator (?), 16:22 , 04-Янв-26, (25)

Не нахожу Ибо сырцы приложений предоставлены одними, собраны они другими, а изо, Аноним (9), 17:58 , 04-Янв-26, (41)

что-то тебя понесло,ты доверяешь той половине которую не изолируешь, но не довер, penetrator (?), 18:17 , 04-Янв-26, (46) +1

Тут скорее аналоги https github com igo95862 bubblejail или https github com, Аноним (10), 11:55 , 04-Янв-26, (10)
Разработчик трояна ограничивает доступ своего трояна к системе Хитро, ничего не, Аноним (15), 13:04 , 04-Янв-26, (15) +1
firejail и bubblewrap интегрируются с системным ПО flatpak навязывает свой репоз, Аноним (16), 13:44 , 04-Янв-26, (16) +1

Оба никак не интегрируются с системным ПО Под интегрироваться имеем в виду, ч, Аноним (1), 14:02 , 04-Янв-26, (21)

а как положить desktop-файлы не туда куда надо если опасаешься собственной , Аноним (37), 17:12 , 04-Янв-26, (37) +1

Ну тогда уже https github com landlock-lsm island , но надо на C переписать , Аноним (29), 16:29 , 04-Янв-26, (29)
сделай appimage и следы в хомяке исчезнут чтоб совсем не сомневаться, запусти си, Аноним (37), 17:06 , 04-Янв-26, (36) +1

Сделай то, сделай сё Согласись, звучит куда сложнее, чем нажать кнопку Insta, Аноним (38), 17:30 , 04-Янв-26, (38)

в безопасности нет решения - нажать кнопку Чтоб стало ЗАЕ Ь в большинстве сл, Аноним (39), 17:39 , 04-Янв-26, (39)

Решение есть, просто ты упорно его игнорируешь Ребутнуться Это даже хуже решени, Аноним (1), 17:50 , 04-Янв-26, (40)

Игнорирую бездоказательные утверждения ну если ребутнуться - это запустить в , Аноним (39), 21:52 , 05-Янв-26, (58)

Зачем нужны flatpak, Wayland и профили, когда есть юзеры, разные tty с разными X, Аноним (42), 18:04 , 04-Янв-26, (42)
Скрыто модератором, Аноним (51), 20:34 , 04-Янв-26, (51)

Дежурное напоминание во всех юниксах можно создавать пользователей и настратват, localhostadmin (ok), 11:00 , 04-Янв-26, (3) –4

Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail , Аноним (5), 11:44 , 04-Янв-26, (5) +1

И В нём нельзя создавать пользователей , Аноним (53), 23:12 , 04-Янв-26, (54)

дежурное напоминание можно запустить сразу несколько иксов под разными пользоват, Аноним (6), 11:45 , 04-Янв-26, (6) +1

нельзятолько вейленд, онанист (?), 13:53 , 04-Янв-26, (17) –2

Кто запретил , Аноним (22), 14:39 , 04-Янв-26, (23)

Давай проверим твою теорию на практике Итак, есть три пользователя user, app1 , Аноним (1), 11:51 , 04-Янв-26, (8) +2

а доступ к буферу обмена есть у всех я бы вообще не рассчитывал на изоляцию , penetrator (?), 18:11 , 04-Янв-26, (45) –1

ЧТД фанатики DAC снова не нашли, чем ответить, и быстренько слились Тем времен, Аноним (1), 19:01 , 04-Янв-26, (47)

а namespace-господа случайно эскалацию привелегий через вулн в изоляторе, или те, мяв (?), 23:43 , 04-Янв-26, (56) –1

Покажи мне хотя бы одну подсистему, в которой не было уязвимостей А так конечно, Аноним (1), 04:22 , 05-Янв-26, (57)

что за мусор я сейчас прочитал кто слился куда слился что ты пытаешься не ска, penetrator (?), 01:06 , 06-Янв-26, (59) –1

Перечитай комменты, чувак Я предложил два кейса, где DAC нихрена ничего не разг, Аноним (1), 11:34 , 06-Янв-26, (60)

При запуске разных X на разных tty 8212 нет , Аноним (42), 19:49 , 04-Янв-26, (49)

1 Кто запретил запускать Иксы в самих юзерах на разных tty 2 Как На каталог , Аноним (42), 19:48 , 04-Янв-26, (48)
по-моему, то, что Вы описали на счет шины, делается через полкит там прям четко , мяв (?), 23:39 , 04-Янв-26, (55)

Привелегии цисгендерного белого угнетателя Типа захотел браузер 8212 залогин, bergentroll (ok), 12:31 , 04-Янв-26, (11) –1

Нет, между tty переключился через Ctrl Alt FX , Аноним (42), 18:06 , 04-Янв-26, (43)

Пользователи видят процессы друг друга by design Пользователи видят открытые сет, Аноним (16), 13:54 , 04-Янв-26, (19)

hidepid 1 или hidepid 2И ты не видишь чужих процессовДальше разбирать твою галим, Энтомолог_русолог (ok), 15:15 , 04-Янв-26, (24) +1

Разбери Причем во время разбора тебе надо учесть, для кого пилится система для, Аноним (1), 16:31 , 04-Янв-26, (30) +1
ничего, systemctl status мне их покажет, Аноним (31), 16:40 , 04-Янв-26, (31) –2

Это понятно А минусы будут Это на безопасность не влияет никак Добавь отдельны, Аноним (42), 18:09 , 04-Янв-26, (44) –1

Похоже на убийцу cagefs от cloudlinux , Аноним (4), 11:20 , 04-Янв-26, (4)
Привилегия 8212 это исключительное право или преимущество, предоставляемое ко, Аноним (7), 11:48 , 04-Янв-26, (7) –1
Скрыто модератором, Аноним (12), 12:46 , 04-Янв-26, (12) –7

Скрыто модератором, Аноним (9), 12:57 , 04-Янв-26, (13) +3
Скрыто модератором, онанист (?), 13:54 , 04-Янв-26, (18) –1

А есть профиль для MAX , Abyss777 (?), 12:58 , 04-Янв-26, (14)

Безопаснее хранить MAX отдельно от компьютера, в сейфе А сейф - в отделении МВД, Бюро Кратия (?), 14:00 , 04-Янв-26, (20) –1

Справку от священника забыл , Аноним (33), 16:47 , 04-Янв-26, (33)

там а самому сделать , Аноним (37), 16:55 , 04-Янв-26, (35)

С landlock воз и ныне там правила landlockа сами по себе, а не выводятся из пра, Аноним (29), 16:26 , 04-Янв-26, (27)
какой glibc конечно не надо писать как всегда, Аноним (37), 16:54 , 04-Янв-26, (34)
Объясните мне, зачем изолировать какой-то конкретный игровой движок Нет унивеср, Аноним (50), 20:31 , 04-Янв-26, (50) –1
А какие преимущества над bwrap и прочих аналогов И по ссылке куча какого-то текс, BrainFucker (ok), 21:47 , 04-Янв-26, (52) –2
связка firejail appimage в теории гораздо круче флетпака во-первых, firejail п, Аноним (-), 16:56 , 06-Янв-26, (61)

Сообщения [Сортировка по времени | RSS]

1. "Релиз системы изоляции приложений Firejail 0.9.78" –4 +/–

Сообщение от Аноним (1), 04-Янв-26, 10:55

Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и более гранулярно. Можно даже задать, к каким именно системным/сессионным D-Bus-сервисам приложуха может иметь доступ (флатпак дает фильтрующий прокси). А еще файловая иерархия становится предсказуемее: для удаления вообще всех данных приложения, надо сделать `rm -rf ~/.var/app/$APP_ID`. И всё. Не надо бегать по темным уголкам хомяка, выискивая как-то следы приложухи по mtime и прочим хреням. Ну и божественный вяленый конечно. Флатпак + вяленый = железобетонная изоляция. Калькулятор не сможет заскриншотить твой экран и отправить скриншот китайцам. Ну и ключевое преимущество: именно разработчик занимается созданием "профилей" для своих приложух, а не какой-то сторонний вася, как в сабже.

Ответить | Правка | Наверх | Cообщить модератору

9. "Релиз системы изоляции приложений Firejail 0.9.78" +7 +/–

Сообщение от Аноним (9), 04-Янв-26, 11:52

Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений из состава дистрибутива. Ничего со стороны в систему не устанавливается.

Ответить | Правка | Наверх | Cообщить модератору

22. "Релиз системы изоляции приложений Firejail 0.9.78" –2 +/–

Сообщение от Аноним (22), 04-Янв-26, 14:37

А во фряхе третьи лица или кто делал такой же jail?
https://www.opennet.me/opennews/art.shtml?num=64550

Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором +/–

Сообщение от Аноним (53), 04-Янв-26, 22:57

Слово похожее увидел?

Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от penetrator (?), 04-Янв-26, 16:22

ты изолируешь приложения из состава дистрибутива, при этом используешь вторую часть дистрибутива, которой вдруг доверяешь для изоляции первой
не находишь это странным?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

41. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (9), 04-Янв-26, 17:58

Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы третьими. В идеале, в реале хотьи нежелательно, но могут эти лица и пересекаться. В случае же флэтпак это однозначно одни и те же лица. Вот это нахожу странным - доверять изоляцию приложений его же автору и сборщику.

Ответить | Правка | Наверх | Cообщить модератору

46. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от penetrator (?), 04-Янв-26, 18:17

> Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы
> третьими. В идеале, в реале хотьи нежелательно, но могут эти лица
> и пересекаться. В случае же флэтпак это однозначно одни и те
> же лица. Вот это нахожу странным - доверять изоляцию приложений его
> же автору и сборщику.
что-то тебя понесло,
ты доверяешь той половине которую не изолируешь, но не доверяешь той половине которую пытаешься изолировать, хотя нет никаких оснований доверять или не доверять той или иной половине разработчкиков
а если есть недоверие, то как минимум виртуалка

Ответить | Правка | Наверх | Cообщить модератору

10. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (10), 04-Янв-26, 11:55

Тут скорее аналоги https://github.com/igo95862/bubblejail или https://github.com/CauldronDevelopmentLLC/sandbubble

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (15), 04-Янв-26, 13:04

Разработчик трояна ограничивает доступ своего трояна к системе. Хитро, ничего не скажешь. Троянописатели в восторге от возможностей задать все права доступа.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (16), 04-Янв-26, 13:44

firejail и bubblewrap интегрируются с системным ПО.
flatpak навязывает свой репозиторий (нельзя перебиндить рут, и даже просто задать другой путь при бинде), который либо сопровождать самому, либо мириться, что софт в Flathub-е собирает кто попало и как попало.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

21. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (1), 04-Янв-26, 14:02

> firejail и bubblewrap интегрируются с системным ПО
Оба никак не интегрируются с системным ПО. Под "интегрироваться" имеем в виду, что .desktop-файлы должны изначально лежать где надо, и запускать механизм изоляции вместо оригинального приложения. А bwrap и вовсе низкоуровневая утилита, она ничего этого делать уметь не должна. А firejail подразумевает, что ты каким-то образом перебьешь системный .desktop-файл своим собственным. И смотри, не ошибись, а то при клике на иконку возможно запустишь оригинальный бинарь!
Во флатпаке же интеграция сделана по-правильному. Ты сразу получаешь правильный .desktop-файл, который невозможно запустить неверным образом. И правильную команду в $PATH, которая тоже заредиректит на флатпак.
> flatpak навязывает свой репозиторий
Это преимущество и недостаток одновременно. Лично для меня -- преимущество, потому что софт во флатпаке обычно свежее того, что приходит из дистра. В особенности хромиум с его частыми 0-day. А так, не все ли равно, откуда приходит софт? Во флатхабе хоть все манифесты ревьюятся сообществом со всех дистров одновременно.
> софт в Flathub-е собирает кто попало и как попало
Софт во флатпаке частенько собирают оригинальные разработчики софта, то есть апстрим.

Ответить | Правка | Наверх | Cообщить модератору

37. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (37), 04-Янв-26, 17:12

а как положить .desktop-файлы не туда куда надо? )))
если опасаешься собственной криворукости запуска "иконки",
то бери терминал и запускай firejail там.
чтобы не терзаться в сомнениях чем там пакет во флэтхабе,
собери себе appimage  и запусти в firejail ))

Ответить | Правка | Наверх | Cообщить модератору

29. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (29), 04-Янв-26, 16:29

Ну тогда уже https://github.com/landlock-lsm/island , но надо на C++ переписать.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

36. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (37), 04-Янв-26, 17:06

сделай appimage и следы в хомяке исчезнут.
чтоб совсем не сомневаться, запусти систему
в режиме live ))
и да, appimage можно запускать в firejail,
как и самому писать профили

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

38. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (38), 04-Янв-26, 17:30

Сделай то, сделай сё... Согласись, звучит куда сложнее, чем "нажать кнопку Install -- и получаешь SOTA zero configuration изоляцию с безопасными дефолтами." И да, главной ЦА должны оставаться обычные пользователи, и должен покрываться такой распространенный случай, как "быстренько попробовать приложение, запустить, а затем удалить" -- в firejail вначале придется потратить час на конфигурирование этого дела, а во флатпаке это три клика: Install, Open, Uninstall.

Ответить | Правка | Наверх | Cообщить модератору

39. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (39), 04-Янв-26, 17:39

в безопасности нет решения -
"нажать кнопку "Чтоб стало ЗАЕ***Ь"
в большинстве случаев, чтобы тестового поставить пакет,
достаточно запустить систему в live
чуть сложнее - откат к предыдущему состоянию

Ответить | Правка | Наверх | Cообщить модератору

40. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (1), 04-Янв-26, 17:50

> в безопасности нет решения - "нажать кнопку "Чтоб стало ЗАЕ***Ь"
Решение есть, просто ты упорно его игнорируешь.
> достаточно запустить систему в live
Ребутнуться? Это даже хуже решения с "вводить пароль каждый раз при установке/удалении приложения", потому что установочный скрипт сделает useradd для DAC. (И все равно после этого приложуха сможет скриншотить чужое и иметь доступ к вообще всем пользовательским сервисам.)

Ответить | Правка | Наверх | Cообщить модератору

58. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (39), 05-Янв-26, 21:52

Игнорирую бездоказательные утверждения )
ну если "ребутнуться" - это запустить в live,
то все изложенное дальше ШЛАК ))

Ответить | Правка | Наверх | Cообщить модератору

42. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (42), 04-Янв-26, 18:04

Зачем нужны flatpak, Wayland и профили, когда есть юзеры, разные tty с разными X-серверами и сборка с сорцов?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

51. Скрыто модератором +/–

Сообщение от Аноним (51), 04-Янв-26, 20:34

что такое "вяленый" ?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Релиз системы изоляции приложений Firejail 0.9.78" –4 +/–

Сообщение от localhostadmin (ok), 04-Янв-26, 11:00

Дежурное напоминание: во всех юниксах можно создавать пользователей и настратвать им привелегии. Пользуйтесь этой информацией как хотите

Ответить | Правка | Наверх | Cообщить модератору

5. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (5), 04-Янв-26, 11:44

Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail и аналоги.

Ответить | Правка | Наверх | Cообщить модератору

54. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (53), 04-Янв-26, 23:12

> Линукс не юникс
И? В нём нельзя создавать пользователей?

Ответить | Правка | Наверх | Cообщить модератору

6. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (6), 04-Янв-26, 11:45

дежурное напоминание:
можно запустить сразу несколько иксов под разными пользователями с настроенными привилегиями под разные задачи и переключаться между ними.
пользуйтесь этой информацией тоже как хотите.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

17. "Релиз системы изоляции приложений Firejail 0.9.78" –2 +/–

Сообщение от онанист (?), 04-Янв-26, 13:53

нельзя
только вейленд

Ответить | Правка | Наверх | Cообщить модератору

23. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (22), 04-Янв-26, 14:39

> нельзя
Кто запретил?

Ответить | Правка | Наверх | Cообщить модератору

8. "Релиз системы изоляции приложений Firejail 0.9.78" +2 +/–

Сообщение от Аноним (1), 04-Янв-26, 11:51

Давай проверим твою теорию на практике. Итак, есть три пользователя: user, app1 и app2. В этой системе user запускает иксовый сервер, и далее к нему коннектятся app1 и app2. ВНЕЗАПНО app1 может заскриншотить app2. Сработал твой DAC? Нет, не сработал. Нихрена ничего не разграничил.
Другой пример. Есть два пользователя: user и app1. user создает d-bus-сессию, а app1 к нему коннектится. Внезапно app1 имеет полный доступ ко всем d-bus-сервисам. Сработал твой DAC? Нет, не сработал. Ни в какой файл не напишешь, что "окей, app1 не имеет доступ ни к чему, кроме org.freedesktop.Notifications."
И вот так примерно со всем: шарить или не шарить network namespace, шарить или не шарить ipc namespace, давать или не давать ptrace и т. д. Никак ты это обычным DAC не разрулишь.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

45. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от penetrator (?), 04-Янв-26, 18:11

а доступ к буферу обмена есть у всех? )))
я бы вообще не рассчитывал на изоляцию между приложениями если ты не контролируешь их код, на крайний вариант VM, и то это неидеально

Ответить | Правка | Наверх | Cообщить модератору

47. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (1), 04-Янв-26, 19:01

ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак), и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа просто запустят за секунду podman run и получат дефолт, в котором приложение не видит вообще ничего, кроме uname ядра.

Ответить | Правка | Наверх | Cообщить модератору

56. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от мяв (?), 04-Янв-26, 23:43

а namespace-господа случайно эскалацию привелегий через вулн в изоляторе, или тем более uns не хотят ?
реальные господа причесывают ~~MAX~~ MAC.
их, правда, трудно так назвать ..

Ответить | Правка | Наверх | Cообщить модератору

57. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (1), 05-Янв-26, 04:22

Покажи мне хотя бы одну подсистему, в которой не было уязвимостей. А так конечно да: сидеть в пещере без компа безопаснее всего. В компах бывают уязвимости -- шок!

Ответить | Правка | Наверх | Cообщить модератору

59. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от penetrator (?), 06-Янв-26, 01:06

> ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем
> временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак),
> и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой
> /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа
> просто запустят за секунду podman run и получат дефолт, в котором
> приложение не видит вообще ничего, кроме uname ядра.
что за мусор я сейчас прочитал? кто слился? куда слился? что ты пытаешься не сказать?
---
по поводу контейнеров
namespaces я могу и в systemd изолировать, и юзеров тоже там же прописать, контейнеры это последcтвия пропихивания микросервисов везде где не нужно, этот зоопарк надо деплоить и  появился ответ в виде compose и кубер, а так он нах "не нужон"
flatpak юзаю, но только для случаев когда нет родных пакетов

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

60. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (1), 06-Янв-26, 11:34

> кто слился? куда слился?
Перечитай комменты, чувак. Я предложил два кейса, где DAC нихрена ничего не разграничивает. Ты на них ответил? Нет. Вместо этого ты внезапно пошел обсуждать погоду на Марсе^W^W^W производство зонтов^W^W влияние Сатурна на животноводство^W^W^W^W буфер обмена.
> namespaces я могу и в systemd изолировать
Молодец. Значит ли это, что systemd следует использовать для деплоя серверных и десктопных приложений? Нет, абсолютно не значит.
Человеческая природа такова, что самый конец текста запоминается лучше всего, поэтому вот тебе напоминание в самом конце: ты нихрена не ответил на мои два примера того, как DAC нихрена ничего не разграничивает, когда шаренный ресурс -- не файл, а сокет.

Ответить | Правка | Наверх | Cообщить модератору

49. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (42), 04-Янв-26, 19:49

> а доступ к буферу обмена есть у всех? )))
При запуске разных X на разных tty — нет.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

48. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (42), 04-Янв-26, 19:48

1. Кто запретил запускать Иксы в самих юзерах на разных tty?
2. Как? На каталог /run/user/<id_user> права всегда 0700.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

55. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от мяв (?), 04-Янв-26, 23:39

по-моему, то, что Вы описали на счет шины, делается через полкит.
там прям четко можно запретить/разрешить и выставить политику по умолчанию

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от bergentroll (ok), 04-Янв-26, 12:31

> во всех юниксах можно создавать пользователей и настратвать им привелегии
Привелегии цисгендерного белого угнетателя? Типа захотел браузер — залогинился от одного юзера, захотел калькулятор — от другого.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

43. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (42), 04-Янв-26, 18:06

Нет, между tty переключился через Ctrl+Alt+FX.

Ответить | Правка | Наверх | Cообщить модератору

19. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (16), 04-Янв-26, 13:54

Пользователи видят процессы друг друга by design.
Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default.
Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default.
Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит).
И т.д. и т.п.
Отдельный пользователь - это хорошо. Но совершенно недостаточно.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

24. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Энтомолог_русолог (ok), 04-Янв-26, 15:15

>  Пользователи видят процессы друг друга by design.
hidepid=1 или hidepid=2
И ты не видишь чужих процессов
Дальше разбирать твою галиматью или уже хватит того, что ты начал со вранья?

Ответить | Правка | Наверх | Cообщить модератору

30. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (1), 04-Янв-26, 16:31

Разбери. Причем во время разбора тебе надо учесть, для кого пилится система: для обычного пользователя, который кликает Install -- и сразу развернулась приложуха с zero configuration изоляцией. Без всяких стремных useradd. Ах да, забыл упомянуть -- поддержка иммутабельного readonly /etc также крайне желательна, так что хрен ты вызовешь useradd.

Ответить | Правка | Наверх | Cообщить модератору

31. "Релиз системы изоляции приложений Firejail 0.9.78" –2 +/–

Сообщение от Аноним (31), 04-Янв-26, 16:40

> И ты не видишь чужих процессов
ничего, systemctl status мне их покажет

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

44. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от Аноним (42), 04-Янв-26, 18:09

> Пользователи видят процессы друг друга by design.
Это понятно. А минусы будут? Это на безопасность не влияет никак.
> Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default.
Добавь отдельный адрес на лупбэк интерфейс и через {ip,nf}tables разреши трафику исходить на этот адрес только от одного юзера, который свои важные штуки будет биндить именно на этот адрес. Я так и делаю.
> Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default.
Но юзеры у нас у разных "окружений задач" разные.
> Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит).
Polkit и sudo в нормальных системах отсутствуют, а в su через, условно, PAM можно задать разрешение логиниться в рута только одному пользователю, либо вовсе не иметь "доверенного" пользователя для логина в рута, а логиниться в рута на отдельном tty.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

4. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (4), 04-Янв-26, 11:20

Похоже на убийцу cagefs от cloudlinux.

Ответить | Правка | Наверх | Cообщить модератору

7. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от Аноним (7), 04-Янв-26, 11:48

Привилегия — это исключительное право или преимущество, предоставляемое кому-либо в отличие от других. Например, это могут быть дворянские привилегии или особые права, которые отменяются в зависимости от обстоятельств. Привилегии могут использоваться как в разговорной речи, так и в профессиональных сферах.

Ответить | Правка | Наверх | Cообщить модератору

12. Скрыто модератором –7 +/–

Сообщение от Аноним (12), 04-Янв-26, 12:46

Всё это слишком сложно и не нужно. Оно и понятно, вместо пользования виндой десяточкой, линуксо_йды придумывают себе всякие прослойки и прослойки прослоек, для того, чтобы им казалось, что у них секурность максимальная!

Ответить | Правка | Наверх | Cообщить модератору

13. Скрыто модератором +3 +/–

Сообщение от Аноним (9), 04-Янв-26, 12:57

Изоляция приложений, запущенных одним пользователем , друг от друга под виндой? Интересует, продолжай.

Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором –1 +/–

Сообщение от онанист (?), 04-Янв-26, 13:54

виндой десяточкой
3.11 - секурнее

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

14. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Abyss777 (?), 04-Янв-26, 12:58

А есть профиль для MAX?

Ответить | Правка | Наверх | Cообщить модератору

20. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от Бюро Кратия (?), 04-Янв-26, 14:00

Безопаснее хранить MAX отдельно от компьютера, в сейфе. А сейф - в отделении МВД, доступ к которому осуществляется строго по паспорту, СНИЛС и НДФЛ, в установленном законом режиме.

Ответить | Правка | Наверх | Cообщить модератору

33. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (33), 04-Янв-26, 16:47

Справку от священника забыл.

Ответить | Правка | Наверх | Cообщить модератору

35. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (37), 04-Янв-26, 16:55

там а самому сделать?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

27. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (29), 04-Янв-26, 16:26

С landlock воз и ныне там: правила landlockа сами по себе, а не выводятся из правил firejail.

Ответить | Правка | Наверх | Cообщить модератору

34. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (37), 04-Янв-26, 16:54

какой glibc конечно не надо писать..
как всегда

Ответить | Правка | Наверх | Cообщить модератору

50. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от Аноним (50), 04-Янв-26, 20:31

>профили изоляции для игровых движков
Объясните мне, зачем изолировать какой-то конкретный игровой движок? Нет унивесрального решения для изоляции, которое бы подходило для любого? Да и вообще зачем их изолировать? Просто спрашиваю, т.к. не особо разбираюсь в этом (да, я понимаю, что важно иметь возможность изолировать приложение от сети и прочего в целом). Спасибо заранее.

Ответить | Правка | Наверх | Cообщить модератору

52. "Релиз системы изоляции приложений Firejail 0.9.78" –2 +/–

Сообщение от BrainFucker (ok), 04-Янв-26, 21:47

А какие преимущества над bwrap и прочих аналогов?
> firejail предельно прост в конфигурации
И по ссылке куча какого-то текста с множеством нюансов и предупреждений о потенциальных проблемах.

Ответить | Правка | Наверх | Cообщить модератору

61. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (-), 06-Янв-26, 16:56

связка firejail + appimage в теории гораздо круче флетпака.
во-первых, firejail позволяет гибко настроить доступ к ресурсам.
во-вторых, всегда можно сохранить копию старой версии проги.
в-третьих, теоретически appimage имеет в составе все зависимости.
однако, на практике, когда я пытался запустить многие аппимаги со стандартными для флетпака фичами вроде --net=none --ipc-namespace --caps.drop=all --private=directory, то половина прог вообще не запускалась.
я пробовал использовать встроенные профили. например аппимагу double commander с преднастроенным профилем file-manager-common.profile
однако оно нихрена не запускалось или работало с большими проблемами с доступом к файлам.
многие другие аппимаги известных прог тоже не работали с преднастроенными профилями, из чего можно сделать вывод, что профиля фаерджейл написаны криво.
пробовал для прикола собрать минимальную генту на sway без гтк и без qt, чтоб все либы были чисто в аппимагах. но, увы, не запустилось ничего, потому что большинство аппимаг требует установленных в систему гтк и кутэ-говна.
тогда я бросил эту идею построить минимальную систему на аппимагах изолированных через firejail, так как это слишком хорошо, чтобы быть правдой.
теперь юзою флетпак, быстро настраиваю доступ через flatseal, хотя хорошо понимаю, что любая песочница взламывается, софт на флетхаб типа стима и хрома выкладывают непроверенные разработчики, да и вообще попытка изолировать среднестатистический линукс обречена.
короче, пацаны, ставьте федору, убунту, а лучше сразу венду, потому что редхет со своим дерьмом всё равно превратит линукс в младшего брата венды для контейнеров и серверов.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Релиз системы изоляции приложений Firejail 0.9.78"	–4 +/–
Сообщение от Аноним (1), 04-Янв-26, 10:55
Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и более гранулярно. Можно даже задать, к каким именно системным/сессионным D-Bus-сервисам приложуха может иметь доступ (флатпак дает фильтрующий прокси). А еще файловая иерархия становится предсказуемее: для удаления вообще всех данных приложения, надо сделать `rm -rf ~/.var/app/$APP_ID`. И всё. Не надо бегать по темным уголкам хомяка, выискивая как-то следы приложухи по mtime и прочим хреням. Ну и божественный вяленый конечно. Флатпак + вяленый = железобетонная изоляция. Калькулятор не сможет заскриншотить твой экран и отправить скриншот китайцам. Ну и ключевое преимущество: именно разработчик занимается созданием "профилей" для своих приложух, а не какой-то сторонний вася, как в сабже.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Релиз системы изоляции приложений Firejail 0.9.78"	+7 +/–
	Сообщение от Аноним (9), 04-Янв-26, 11:52
	Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений из состава дистрибутива. Ничего со стороны в систему не устанавливается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Релиз системы изоляции приложений Firejail 0.9.78"	–2 +/–
	Сообщение от Аноним (22), 04-Янв-26, 14:37
	А во фряхе третьи лица или кто делал такой же jail? https://www.opennet.me/opennews/art.shtml?num=64550
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. Скрыто модератором	+/–
	Сообщение от Аноним (53), 04-Янв-26, 22:57
	Слово похожее увидел?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от penetrator (?), 04-Янв-26, 16:22
	ты изолируешь приложения из состава дистрибутива, при этом используешь вторую часть дистрибутива, которой вдруг доверяешь для изоляции первой не находишь это странным?
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	41. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (9), 04-Янв-26, 17:58
	Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы третьими. В идеале, в реале хотьи нежелательно, но могут эти лица и пересекаться. В случае же флэтпак это однозначно одни и те же лица. Вот это нахожу странным - доверять изоляцию приложений его же автору и сборщику.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от penetrator (?), 04-Янв-26, 18:17
	> Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы > третьими. В идеале, в реале хотьи нежелательно, но могут эти лица > и пересекаться. В случае же флэтпак это однозначно одни и те > же лица. Вот это нахожу странным - доверять изоляцию приложений его > же автору и сборщику. что-то тебя понесло, ты доверяешь той половине которую не изолируешь, но не доверяешь той половине которую пытаешься изолировать, хотя нет никаких оснований доверять или не доверять той или иной половине разработчкиков а если есть недоверие, то как минимум виртуалка
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (10), 04-Янв-26, 11:55
	Тут скорее аналоги https://github.com/igo95862/bubblejail или https://github.com/CauldronDevelopmentLLC/sandbubble
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	15. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (15), 04-Янв-26, 13:04
	Разработчик трояна ограничивает доступ своего трояна к системе. Хитро, ничего не скажешь. Троянописатели в восторге от возможностей задать все права доступа.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	16. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (16), 04-Янв-26, 13:44
	firejail и bubblewrap интегрируются с системным ПО. flatpak навязывает свой репозиторий (нельзя перебиндить рут, и даже просто задать другой путь при бинде), который либо сопровождать самому, либо мириться, что софт в Flathub-е собирает кто попало и как попало.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	21. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (1), 04-Янв-26, 14:02
	> firejail и bubblewrap интегрируются с системным ПО Оба никак не интегрируются с системным ПО. Под "интегрироваться" имеем в виду, что .desktop-файлы должны изначально лежать где надо, и запускать механизм изоляции вместо оригинального приложения. А bwrap и вовсе низкоуровневая утилита, она ничего этого делать уметь не должна. А firejail подразумевает, что ты каким-то образом перебьешь системный .desktop-файл своим собственным. И смотри, не ошибись, а то при клике на иконку возможно запустишь оригинальный бинарь! Во флатпаке же интеграция сделана по-правильному. Ты сразу получаешь правильный .desktop-файл, который невозможно запустить неверным образом. И правильную команду в $PATH, которая тоже заредиректит на флатпак. > flatpak навязывает свой репозиторий Это преимущество и недостаток одновременно. Лично для меня -- преимущество, потому что софт во флатпаке обычно свежее того, что приходит из дистра. В особенности хромиум с его частыми 0-day. А так, не все ли равно, откуда приходит софт? Во флатхабе хоть все манифесты ревьюятся сообществом со всех дистров одновременно. > софт в Flathub-е собирает кто попало и как попало Софт во флатпаке частенько собирают оригинальные разработчики софта, то есть апстрим.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (37), 04-Янв-26, 17:12
	а как положить .desktop-файлы не туда куда надо? ))) если опасаешься собственной криворукости запуска "иконки", то бери терминал и запускай firejail там. чтобы не терзаться в сомнениях чем там пакет во флэтхабе, собери себе appimage и запусти в firejail ))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (29), 04-Янв-26, 16:29
	Ну тогда уже https://github.com/landlock-lsm/island , но надо на C++ переписать.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	36. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (37), 04-Янв-26, 17:06
	сделай appimage и следы в хомяке исчезнут. чтоб совсем не сомневаться, запусти систему в режиме live )) и да, appimage можно запускать в firejail, как и самому писать профили
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	38. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (38), 04-Янв-26, 17:30
	Сделай то, сделай сё... Согласись, звучит куда сложнее, чем "нажать кнопку Install -- и получаешь SOTA zero configuration изоляцию с безопасными дефолтами." И да, главной ЦА должны оставаться обычные пользователи, и должен покрываться такой распространенный случай, как "быстренько попробовать приложение, запустить, а затем удалить" -- в firejail вначале придется потратить час на конфигурирование этого дела, а во флатпаке это три клика: Install, Open, Uninstall.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (39), 04-Янв-26, 17:39
	в безопасности нет решения - "нажать кнопку "Чтоб стало ЗАЕ***Ь" в большинстве случаев, чтобы тестового поставить пакет, достаточно запустить систему в live чуть сложнее - откат к предыдущему состоянию
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (1), 04-Янв-26, 17:50
	> в безопасности нет решения - "нажать кнопку "Чтоб стало ЗАЕ***Ь" Решение есть, просто ты упорно его игнорируешь. > достаточно запустить систему в live Ребутнуться? Это даже хуже решения с "вводить пароль каждый раз при установке/удалении приложения", потому что установочный скрипт сделает useradd для DAC. (И все равно после этого приложуха сможет скриншотить чужое и иметь доступ к вообще всем пользовательским сервисам.)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (39), 05-Янв-26, 21:52
	Игнорирую бездоказательные утверждения ) ну если "ребутнуться" - это запустить в live, то все изложенное дальше ШЛАК ))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (42), 04-Янв-26, 18:04
	Зачем нужны flatpak, Wayland и профили, когда есть юзеры, разные tty с разными X-серверами и сборка с сорцов?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	51. Скрыто модератором	+/–
	Сообщение от Аноним (51), 04-Янв-26, 20:34
	что такое "вяленый" ?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Релиз системы изоляции приложений Firejail 0.9.78"	–4 +/–
Сообщение от localhostadmin (ok), 04-Янв-26, 11:00
Дежурное напоминание: во всех юниксах можно создавать пользователей и настратвать им привелегии. Пользуйтесь этой информацией как хотите
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (5), 04-Янв-26, 11:44
	Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail и аналоги.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (53), 04-Янв-26, 23:12
	> Линукс не юникс И? В нём нельзя создавать пользователей?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (6), 04-Янв-26, 11:45
	дежурное напоминание: можно запустить сразу несколько иксов под разными пользователями с настроенными привилегиями под разные задачи и переключаться между ними. пользуйтесь этой информацией тоже как хотите.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	17. "Релиз системы изоляции приложений Firejail 0.9.78"	–2 +/–
	Сообщение от онанист (?), 04-Янв-26, 13:53
	нельзя только вейленд
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (22), 04-Янв-26, 14:39
	> нельзя Кто запретил?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Релиз системы изоляции приложений Firejail 0.9.78"	+2 +/–
	Сообщение от Аноним (1), 04-Янв-26, 11:51
	Давай проверим твою теорию на практике. Итак, есть три пользователя: user, app1 и app2. В этой системе user запускает иксовый сервер, и далее к нему коннектятся app1 и app2. ВНЕЗАПНО app1 может заскриншотить app2. Сработал твой DAC? Нет, не сработал. Нихрена ничего не разграничил. Другой пример. Есть два пользователя: user и app1. user создает d-bus-сессию, а app1 к нему коннектится. Внезапно app1 имеет полный доступ ко всем d-bus-сервисам. Сработал твой DAC? Нет, не сработал. Ни в какой файл не напишешь, что "окей, app1 не имеет доступ ни к чему, кроме org.freedesktop.Notifications." И вот так примерно со всем: шарить или не шарить network namespace, шарить или не шарить ipc namespace, давать или не давать ptrace и т. д. Никак ты это обычным DAC не разрулишь.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	45. "Релиз системы изоляции приложений Firejail 0.9.78"	–1 +/–
	Сообщение от penetrator (?), 04-Янв-26, 18:11
	а доступ к буферу обмена есть у всех? ))) я бы вообще не рассчитывал на изоляцию между приложениями если ты не контролируешь их код, на крайний вариант VM, и то это неидеально
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (1), 04-Янв-26, 19:01
	ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак), и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа просто запустят за секунду podman run и получат дефолт, в котором приложение не видит вообще ничего, кроме uname ядра.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Релиз системы изоляции приложений Firejail 0.9.78"	–1 +/–
	Сообщение от мяв (?), 04-Янв-26, 23:43
	а namespace-господа случайно эскалацию привелегий через вулн в изоляторе, или тем более uns не хотят ? реальные господа причесывают ~~MAX~~ MAC. их, правда, трудно так назвать ..
	Ответить \| Правка \| Наверх \| Cообщить модератору