forum.opennet.ru - "Выпуск Bubblewrap 0.11, прослойки для создания изолированных окружений " (28)

"Выпуск Bubblewrap 0.11, прослойки для создания изолированных окружений "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск Bubblewrap 0.11, прослойки для создания изолированных окружений "	+/–
Сообщение от opennews (??), 31-Окт-24, 16:19
Опубликована новая версия инструментария для организации работы изолированных окружений Bubblewrap 0.11, используемого для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62149
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, Аноним (1), 16:19 , 31-Окт-24, (1) –15

Скрыто модератором, BeLord (ok), 16:27 , 31-Окт-24, (2) +6

Скрыто модератором, anominus (?), 16:33 , 31-Окт-24, (3) –2

Скрыто модератором, Аноним (9), 17:50 , 31-Окт-24, (9)

Скрыто модератором, Аноним (6), 17:00 , 31-Окт-24, (6)

Скрыто модератором, Соль земли (?), 16:44 , 31-Окт-24, (4) –1
Скрыто модератором, OpenEcho (?), 17:38 , 31-Окт-24, (8)

Скрыто модератором, Аноним (14), 18:27 , 31-Окт-24, (14)

Скрыто модератором, OpenEcho (?), 13:48 , 01-Ноя-24, (24)

Скрыто модератором, Аноним (10), 17:56 , 31-Окт-24, (10)
Скрыто модератором, Аноним (11), 18:01 , 31-Окт-24, (11)

Скрыто модератором, Аноним (14), 18:30 , 31-Окт-24, (15)

Скрыто модератором, Ананоним (?), 18:21 , 31-Окт-24, (12) +1
Скрыто модератором, _ (??), 18:52 , 31-Окт-24, (16) +1

По описанию выглядит будто антивирус какой-то Работать может и работает, но тре, Аноним (13), 18:24 , 31-Окт-24, (13) –1

Это больше про неймспейсы комент, чем про сабж , Аноним (6), 21:12 , 31-Окт-24, (18)
Это не контейнер, там ядрёные пространства имён Почти бесплатная изоляция - то , Аноним (19), 21:14 , 31-Окт-24, (19)

100 надёжности не даст даже отдельный компьютер, отключённый от сети Поэтому д, Анониссимус (?), 23:27 , 01-Ноя-24, (28)

Аллилуя , Аноним (19), 21:10 , 31-Окт-24, (17) +1
кто сравнивал с Firejail, что из этого удобнее я пока что пользуюсь вторым, но е, onanim (?), 22:57 , 31-Окт-24, (20)

Firejail - это готовое решение Если его настройка - боль , то bwrap лучше вооб, Аноним (19), 23:55 , 31-Окт-24, (21)

видел bwrap, какой-то разницы с fjail не ощутил , Аноним (22), 00:33 , 01-Ноя-24, (22)
боль начинается, когда пытаешься запустить приложение, для которого нет готового, onanim (?), 19:18 , 01-Ноя-24, (26)

В чем боль Если про Настройки для конкретных приложений, то есть готовые профил, Вы забыли заполнить поле Name (?), 18:39 , 01-Ноя-24, (25)

https www opennet me openforum vsluhforumID3 135193 html 26, onanim (?), 19:18 , 01-Ноя-24, (27)

Теперь бублвсрат и подавно не нужен , Аноним (23), 03:09 , 01-Ноя-24, (23) –1

А как ты коммент то написал Браузер то, поди, тоже не автотулзами собирается , Анониссимус (?), 23:29 , 01-Ноя-24, (29)

Судить о проекте по системе сборки, мда Вы не таролог, случайно , Аноним (30), 03:43 , 02-Ноя-24, (30)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 31-Окт-24, 16:19 Скрыто ботом-модератором –15 +/–

Как вообще можно говорить о безопасности (изоляции), когда "Код проекта написан на языке Си"?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #4, #8, #10, #11, #12, #16

2. Сообщение от BeLord (ok), 31-Окт-24, 16:27 +6 +/–

Ничто не мешает писать безопасный код, что на С, что на asm, все упирается в кривизну рук, конкретного разработчика.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #6

3. Сообщение от anominus (?), 31-Окт-24, 16:33 –2 +/–

не конкретного разработчика, а ВСЕХ чей код используется в проекте

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9

4. Сообщение от Соль земли (?), 31-Окт-24, 16:44 –1 +/–

Также, как и всегда: никак.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

6. Сообщение от Аноним (6), 31-Окт-24, 17:00 +/–

Так неймспейсы - часть ядра, онг на с.
Тут без вариантов)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

8. Сообщение от OpenEcho (?), 31-Окт-24, 17:38 +/–

> Как вообще можно говорить о безопасности (изоляции), когда "Код проекта написан на языке Си"?
Логика у народа блин, ну просто прет....
Програмист, который публичо топит за безопастный язык И o6сирaет то, что юзает в данный момент, - просто публично признается, что писать безопасный код он просто не умеет, потому он и юзает прослойки над опкодами, надеясь что прослойко деятели защитят его, а он будет ходить и размахивать флажком - какой же он крутой и безошибочный.
Вы господа, уже так мягко говоря за... колебали, детский сад...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14

9. Сообщение от Аноним (9), 31-Окт-24, 17:50 +/–

Истинно. Поэтому у меня нет соавторов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от Аноним (10), 31-Окт-24, 17:56 +/–

бубльврап - это прослойка над сисколами. Там большинство кода - просто парсинг командной строки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 31-Окт-24, 18:01 +/–

код на чем угодно + тестировщик который деньгами отвечает за качество = обширные тест планы и тест кейсы которые дают такое же качество, только гораздо дешевле по деньгам и по времени, чем какой нибудь rust или что угодно другое

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #15

12. Сообщение от Ананоним (?), 31-Окт-24, 18:21 +1 +/–

Как вообще можно говорить о безопасности и изоляции, когда код исполняется на "дырявых" процессорах x86?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

13. Сообщение от Аноним (13), 31-Окт-24, 18:24 –1 +/–

По описанию выглядит будто антивирус какой-то. Работать может и работает, но требует пожизненных доработок, затыканий всевозможных дырок и не гарантирует 100% надежности, что приложение не вылезет за пределы контейнера.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #19

14. Сообщение от Аноним (14), 31-Окт-24, 18:27 +/–

>просто публично признается, что писать безопасный код он просто не умеет
>он будет ходить и размахивать флажком - какой же он крутой и безошибочный
Я, например, размахиваю флажком, что я некрутой и ошибочный - человек обычный с аналоговыми мозгами, которые регулярно фейлят. И я бы хотел использовать инструмент, который избавит мою работу от моего несовершенства - так и мне спать спокойнее, и пользователям.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #24

15. Сообщение от Аноним (14), 31-Окт-24, 18:30 +/–

Осталось только пленить такого тестировщика.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

16. Сообщение от _ (??), 31-Окт-24, 18:52 +1 +/–

>Как вообще можно говорить о безопасности (изоляции), когда "Код проекта написан на языке Си"?
Рекомендую переписать на языке rust - у него безопасТная работа с памятью !
Ну как переписать ... начать переписывать! C0C там в гитхуб закинуть и странциу с донатами :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

17. Сообщение от Аноним (19), 31-Окт-24, 21:10 +1 +/–

> OverlayFS
Аллилуя!

Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (6), 31-Окт-24, 21:12 +/–

Это больше про неймспейсы комент, чем про сабж.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (19), 31-Окт-24, 21:14 +/–

Это не контейнер, там ядрёные пространства имён. Почти бесплатная изоляция - то что нужно для запуска ПО с открытым исходным кодом.
А 100% надежности не гарантирует даже гипервизор.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #28

20. Сообщение от onanim (?), 31-Окт-24, 22:57 +/–

кто сравнивал с Firejail, что из этого удобнее?
я пока что пользуюсь вторым, но его настройка - это боль.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #25

21. Сообщение от Аноним (19), 31-Окт-24, 23:55 +/–

Firejail - это готовое решение. Если его настройка - "боль", то bwrap лучше вообще не трогать, он не предназначен к использованию "AS IS".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #22, #26

22. Сообщение от Аноним (22), 01-Ноя-24, 00:33 +/–

видел bwrap, какой-то разницы с fjail не ощутил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

23. Сообщение от Аноним (23), 01-Ноя-24, 03:09 –1 +/–

>Прекращена поддержка сборочной системы Autotools. Для сборки теперь необходим инструментарий Meson.
Теперь бублвсрат и подавно не нужен.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

24. Сообщение от OpenEcho (?), 01-Ноя-24, 13:48 +/–

>>просто публично признается, что писать безопасный код он просто не умеет
>>он будет ходить и размахивать флажком - какой же он крутой и безошибочный
> Я, например, размахиваю флажком, что я некрутой и ошибочный - человек обычный
> с аналоговыми мозгами, которые регулярно фейлят. И я бы хотел использовать
> инструмент, который избавит мою работу от моего несовершенства - так и
> мне спать спокойнее, и пользователям.
Так и я тоже не святоша и делаю ошибки как и другие, и которые впрочем на расте, но орать то на каждом шагу на прародителя что оно омно, не по человечески это, низко, тем более от всех ошибок ни раст , ни Го, ни другие "безопастные" все равно не защитят. Другой просто уровень ошибок

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

25. Сообщение от Вы забыли заполнить поле Name (?), 01-Ноя-24, 18:39 +/–

> но его настройка - это боль
В чем боль? Если про Настройки для конкретных приложений, то есть готовые профили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #27

26. Сообщение от onanim (?), 01-Ноя-24, 19:18 +/–

> Firejail - это готовое решение. Если его настройка - "боль", то bwrap
> лучше вообще не трогать, он не предназначен к использованию "AS IS".
боль начинается, когда пытаешься запустить приложение, для которого нет готового профиля, там даже strace не всегда помогает понять, почему приложение дохнет.
плюс захардкоденные пути для whitelist (невозможно указать ничего кроме /home/ и /opt/), и, кажется, сами разрабы толком не понимают и не могут объяснить разницу между whitelist и noblacklist.
если у bubblewrap такие же приколы, то останусь с firejail.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

27. Сообщение от onanim (?), 01-Ноя-24, 19:18 +/–

>> но его настройка - это боль
> В чем боль? Если про Настройки для конкретных приложений, то есть готовые
> профили.
https://www.opennet.me/openforum/vsluhforumID3/135193.html#26

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от Анониссимус (?), 01-Ноя-24, 23:27 +/–

100% надёжности не даст даже отдельный компьютер, отключённый от сети. Поэтому да, контейнерная изоляция -- разумный компромисс по защищённости, производительности и удобству.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

29. Сообщение от Анониссимус (?), 01-Ноя-24, 23:29 +/–

А как ты коммент то написал? Браузер то, поди, тоже не автотулзами собирается...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #30

30. Сообщение от Аноним (30), 02-Ноя-24, 03:43 +/–

Судить о проекте по системе сборки, мда. Вы не таролог, случайно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 31-Окт-24, 16:19 Скрыто ботом-модератором	–15 +/–
Как вообще можно говорить о безопасности (изоляции), когда "Код проекта написан на языке Си"?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #4, #8, #10, #11, #12, #16

2. Сообщение от BeLord (ok), 31-Окт-24, 16:27	+6 +/–
Ничто не мешает писать безопасный код, что на С, что на asm, все упирается в кривизну рук, конкретного разработчика.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #3, #6

3. Сообщение от anominus (?), 31-Окт-24, 16:33	–2 +/–
не конкретного разработчика, а ВСЕХ чей код используется в проекте
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #9

4. Сообщение от Соль земли (?), 31-Окт-24, 16:44	–1 +/–
Также, как и всегда: никак.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

6. Сообщение от Аноним (6), 31-Окт-24, 17:00	+/–
Так неймспейсы - часть ядра, онг на с. Тут без вариантов)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

8. Сообщение от OpenEcho (?), 31-Окт-24, 17:38	+/–
> Как вообще можно говорить о безопасности (изоляции), когда "Код проекта написан на языке Си"? Логика у народа блин, ну просто прет.... Програмист, который публичо топит за безопастный язык И o6сирaет то, что юзает в данный момент, - просто публично признается, что писать безопасный код он просто не умеет, потому он и юзает прослойки над опкодами, надеясь что прослойко деятели защитят его, а он будет ходить и размахивать флажком - какой же он крутой и безошибочный. Вы господа, уже так мягко говоря за... колебали, детский сад...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #14

9. Сообщение от Аноним (9), 31-Окт-24, 17:50	+/–
Истинно. Поэтому у меня нет соавторов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

10. Сообщение от Аноним (10), 31-Окт-24, 17:56	+/–
бубльврап - это прослойка над сисколами. Там большинство кода - просто парсинг командной строки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 31-Окт-24, 18:01	+/–
код на чем угодно + тестировщик который деньгами отвечает за качество = обширные тест планы и тест кейсы которые дают такое же качество, только гораздо дешевле по деньгам и по времени, чем какой нибудь rust или что угодно другое
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #15

12. Сообщение от Ананоним (?), 31-Окт-24, 18:21	+1 +/–
Как вообще можно говорить о безопасности и изоляции, когда код исполняется на "дырявых" процессорах x86?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

13. Сообщение от Аноним (13), 31-Окт-24, 18:24	–1 +/–
По описанию выглядит будто антивирус какой-то. Работать может и работает, но требует пожизненных доработок, затыканий всевозможных дырок и не гарантирует 100% надежности, что приложение не вылезет за пределы контейнера.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18, #19

14. Сообщение от Аноним (14), 31-Окт-24, 18:27	+/–
>просто публично признается, что писать безопасный код он просто не умеет >он будет ходить и размахивать флажком - какой же он крутой и безошибочный Я, например, размахиваю флажком, что я некрутой и ошибочный - человек обычный с аналоговыми мозгами, которые регулярно фейлят. И я бы хотел использовать инструмент, который избавит мою работу от моего несовершенства - так и мне спать спокойнее, и пользователям.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #24

15. Сообщение от Аноним (14), 31-Окт-24, 18:30	+/–
Осталось только пленить такого тестировщика.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

16. Сообщение от _ (??), 31-Окт-24, 18:52	+1 +/–
>Как вообще можно говорить о безопасности (изоляции), когда "Код проекта написан на языке Си"? Рекомендую переписать на языке rust - у него безопасТная работа с памятью ! Ну как переписать ... начать переписывать! C0C там в гитхуб закинуть и странциу с донатами :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

17. Сообщение от Аноним (19), 31-Окт-24, 21:10	+1 +/–
> OverlayFS Аллилуя!
Ответить \| Правка \| Наверх \| Cообщить модератору

18. Сообщение от Аноним (6), 31-Окт-24, 21:12	+/–
Это больше про неймспейсы комент, чем про сабж.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (19), 31-Окт-24, 21:14	+/–
Это не контейнер, там ядрёные пространства имён. Почти бесплатная изоляция - то что нужно для запуска ПО с открытым исходным кодом. А 100% надежности не гарантирует даже гипервизор.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #28

20. Сообщение от onanim (?), 31-Окт-24, 22:57	+/–
кто сравнивал с Firejail, что из этого удобнее? я пока что пользуюсь вторым, но его настройка - это боль.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #21, #25

21. Сообщение от Аноним (19), 31-Окт-24, 23:55	+/–
Firejail - это готовое решение. Если его настройка - "боль", то bwrap лучше вообще не трогать, он не предназначен к использованию "AS IS".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #22, #26

22. Сообщение от Аноним (22), 01-Ноя-24, 00:33	+/–
видел bwrap, какой-то разницы с fjail не ощутил.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

23. Сообщение от Аноним (23), 01-Ноя-24, 03:09	–1 +/–
>Прекращена поддержка сборочной системы Autotools. Для сборки теперь необходим инструментарий Meson. Теперь бублвсрат и подавно не нужен.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #29

24. Сообщение от OpenEcho (?), 01-Ноя-24, 13:48	+/–
>>просто публично признается, что писать безопасный код он просто не умеет >>он будет ходить и размахивать флажком - какой же он крутой и безошибочный > Я, например, размахиваю флажком, что я некрутой и ошибочный - человек обычный > с аналоговыми мозгами, которые регулярно фейлят. И я бы хотел использовать > инструмент, который избавит мою работу от моего несовершенства - так и > мне спать спокойнее, и пользователям. Так и я тоже не святоша и делаю ошибки как и другие, и которые впрочем на расте, но орать то на каждом шагу на прародителя что оно омно, не по человечески это, низко, тем более от всех ошибок ни раст , ни Го, ни другие "безопастные" все равно не защитят. Другой просто уровень ошибок
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

25. Сообщение от Вы забыли заполнить поле Name (?), 01-Ноя-24, 18:39	+/–
> но его настройка - это боль В чем боль? Если про Настройки для конкретных приложений, то есть готовые профили.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #27

26. Сообщение от onanim (?), 01-Ноя-24, 19:18	+/–
> Firejail - это готовое решение. Если его настройка - "боль", то bwrap > лучше вообще не трогать, он не предназначен к использованию "AS IS". боль начинается, когда пытаешься запустить приложение, для которого нет готового профиля, там даже strace не всегда помогает понять, почему приложение дохнет. плюс захардкоденные пути для whitelist (невозможно указать ничего кроме /home/ и /opt/), и, кажется, сами разрабы толком не понимают и не могут объяснить разницу между whitelist и noblacklist. если у bubblewrap такие же приколы, то останусь с firejail.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

27. Сообщение от onanim (?), 01-Ноя-24, 19:18	+/–
>> но его настройка - это боль > В чем боль? Если про Настройки для конкретных приложений, то есть готовые > профили. https://www.opennet.me/openforum/vsluhforumID3/135193.html#26
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

28. Сообщение от Анониссимус (?), 01-Ноя-24, 23:27	+/–
100% надёжности не даст даже отдельный компьютер, отключённый от сети. Поэтому да, контейнерная изоляция -- разумный компромисс по защищённости, производительности и удобству.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

29. Сообщение от Анониссимус (?), 01-Ноя-24, 23:29	+/–
А как ты коммент то написал? Браузер то, поди, тоже не автотулзами собирается...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #30

30. Сообщение от Аноним (30), 02-Ноя-24, 03:43	+/–
Судить о проекте по системе сборки, мда. Вы не таролог, случайно?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29