Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз системы изоляции приложений Firejail 0.9.78"	+/–
Сообщение от opennews (??), 04-Янв-26, 10:55
Опубликован релиз проекта Firejail 0.9.78, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64553
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 04-Янв-26, 10:55	–4 +/–
Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и более гранулярно. Можно даже задать, к каким именно системным/сессионным D-Bus-сервисам приложуха может иметь доступ (флатпак дает фильтрующий прокси). А еще файловая иерархия становится предсказуемее: для удаления вообще всех данных приложения, надо сделать `rm -rf ~/.var/app/$APP_ID`. И всё. Не надо бегать по темным уголкам хомяка, выискивая как-то следы приложухи по mtime и прочим хреням. Ну и божественный вяленый конечно. Флатпак + вяленый = железобетонная изоляция. Калькулятор не сможет заскриншотить твой экран и отправить скриншот китайцам. Ну и ключевое преимущество: именно разработчик занимается созданием "профилей" для своих приложух, а не какой-то сторонний вася, как в сабже.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #10, #15, #16, #29, #36, #42, #51

3. Сообщение от localhostadmin (ok), 04-Янв-26, 11:00	–4 +/–
Дежурное напоминание: во всех юниксах можно создавать пользователей и настратвать им привелегии. Пользуйтесь этой информацией как хотите
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #8, #11, #19

4. Сообщение от Аноним (4), 04-Янв-26, 11:20	+/–
Похоже на убийцу cagefs от cloudlinux.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 04-Янв-26, 11:44	+1 +/–
Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail и аналоги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #54

6. Сообщение от Аноним (6), 04-Янв-26, 11:45	+1 +/–
дежурное напоминание: можно запустить сразу несколько иксов под разными пользователями с настроенными привилегиями под разные задачи и переключаться между ними. пользуйтесь этой информацией тоже как хотите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #17

7. Сообщение от Аноним (7), 04-Янв-26, 11:48	–1 +/–
Привилегия — это исключительное право или преимущество, предоставляемое кому-либо в отличие от других. Например, это могут быть дворянские привилегии или особые права, которые отменяются в зависимости от обстоятельств. Привилегии могут использоваться как в разговорной речи, так и в профессиональных сферах.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (1), 04-Янв-26, 11:51	+2 +/–
Давай проверим твою теорию на практике. Итак, есть три пользователя: user, app1 и app2. В этой системе user запускает иксовый сервер, и далее к нему коннектятся app1 и app2. ВНЕЗАПНО app1 может заскриншотить app2. Сработал твой DAC? Нет, не сработал. Нихрена ничего не разграничил. Другой пример. Есть два пользователя: user и app1. user создает d-bus-сессию, а app1 к нему коннектится. Внезапно app1 имеет полный доступ ко всем d-bus-сервисам. Сработал твой DAC? Нет, не сработал. Ни в какой файл не напишешь, что "окей, app1 не имеет доступ ни к чему, кроме org.freedesktop.Notifications." И вот так примерно со всем: шарить или не шарить network namespace, шарить или не шарить ipc namespace, давать или не давать ptrace и т. д. Никак ты это обычным DAC не разрулишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #45, #48, #55

9. Сообщение от Аноним (9), 04-Янв-26, 11:52	+7 +/–
Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений из состава дистрибутива. Ничего со стороны в систему не устанавливается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #22, #25

10. Сообщение от Аноним (10), 04-Янв-26, 11:55	+/–
Тут скорее аналоги https://github.com/igo95862/bubblejail или https://github.com/CauldronDevelopmentLLC/sandbubble
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от bergentroll (ok), 04-Янв-26, 12:31	–1 +/–
> во всех юниксах можно создавать пользователей и настратвать им привелегии Привелегии цисгендерного белого угнетателя? Типа захотел браузер — залогинился от одного юзера, захотел калькулятор — от другого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #43

12. Сообщение от Аноним (12), 04-Янв-26, 12:46    Скрыто ботом-модератором	–7 +/–
Всё это слишком сложно и не нужно. Оно и понятно, вместо пользования виндой десяточкой, линуксо_йды придумывают себе всякие прослойки и прослойки прослоек, для того, чтобы им казалось, что у них секурность максимальная!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #18

13. Сообщение от Аноним (9), 04-Янв-26, 12:57	+3 +/–
Изоляция приложений, запущенных одним пользователем , друг от друга под виндой? Интересует, продолжай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

14. Сообщение от Abyss777 (?), 04-Янв-26, 12:58	+/–
А есть профиль для MAX?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #35

15. Сообщение от Аноним (15), 04-Янв-26, 13:04	+1 +/–
Разработчик трояна ограничивает доступ своего трояна к системе. Хитро, ничего не скажешь. Троянописатели в восторге от возможностей задать все права доступа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

16. Сообщение от Аноним (16), 04-Янв-26, 13:44	+1 +/–
firejail и bubblewrap интегрируются с системным ПО. flatpak навязывает свой репозиторий (нельзя перебиндить рут, и даже просто задать другой путь при бинде), который либо сопровождать самому, либо мириться, что софт в Flathub-е собирает кто попало и как попало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #21

17. Сообщение от онанист (?), 04-Янв-26, 13:53	–2 +/–
нельзя только вейленд
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #23

18. Сообщение от онанист (?), 04-Янв-26, 13:54	–1 +/–
виндой десяточкой 3.11 - секурнее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

19. Сообщение от Аноним (16), 04-Янв-26, 13:54	+/–
Пользователи видят процессы друг друга by design. Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default. Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default. Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит). И т.д. и т.п. Отдельный пользователь - это хорошо. Но совершенно недостаточно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #24, #44

20. Сообщение от Бюро Кратия (?), 04-Янв-26, 14:00	–1 +/–
Безопаснее хранить MAX отдельно от компьютера, в сейфе. А сейф - в отделении МВД, доступ к которому осуществляется строго по паспорту, СНИЛС и НДФЛ, в установленном законом режиме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #33

21. Сообщение от Аноним (1), 04-Янв-26, 14:02	+/–
> firejail и bubblewrap интегрируются с системным ПО Оба никак не интегрируются с системным ПО. Под "интегрироваться" имеем в виду, что .desktop-файлы должны изначально лежать где надо, и запускать механизм изоляции вместо оригинального приложения. А bwrap и вовсе низкоуровневая утилита, она ничего этого делать уметь не должна. А firejail подразумевает, что ты каким-то образом перебьешь системный .desktop-файл своим собственным. И смотри, не ошибись, а то при клике на иконку возможно запустишь оригинальный бинарь! Во флатпаке же интеграция сделана по-правильному. Ты сразу получаешь правильный .desktop-файл, который невозможно запустить неверным образом. И правильную команду в $PATH, которая тоже заредиректит на флатпак. > flatpak навязывает свой репозиторий Это преимущество и недостаток одновременно. Лично для меня -- преимущество, потому что софт во флатпаке обычно свежее того, что приходит из дистра. В особенности хромиум с его частыми 0-day. А так, не все ли равно, откуда приходит софт? Во флатхабе хоть все манифесты ревьюятся сообществом со всех дистров одновременно. > софт в Flathub-е собирает кто попало и как попало Софт во флатпаке частенько собирают оригинальные разработчики софта, то есть апстрим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #37

22. Сообщение от Аноним (22), 04-Янв-26, 14:37	–2 +/–
А во фряхе третьи лица или кто делал такой же jail? https://www.opennet.me/opennews/art.shtml?num=64550
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #53

23. Сообщение от Аноним (22), 04-Янв-26, 14:39	+/–
> нельзя Кто запретил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

24. Сообщение от Энтомолог_русолог (ok), 04-Янв-26, 15:15	+1 +/–
>  Пользователи видят процессы друг друга by design. hidepid=1 или hidepid=2 И ты не видишь чужих процессов Дальше разбирать твою галиматью или уже хватит того, что ты начал со вранья?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #30, #31

25. Сообщение от penetrator (?), 04-Янв-26, 16:22	+/–
ты изолируешь приложения из состава дистрибутива, при этом используешь вторую часть дистрибутива, которой вдруг доверяешь для изоляции первой не находишь это странным?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #41

27. Сообщение от Аноним (29), 04-Янв-26, 16:26	+/–
С landlock воз и ныне там: правила landlockа сами по себе, а не выводятся из правил firejail.
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (29), 04-Янв-26, 16:29	+/–
Ну тогда уже https://github.com/landlock-lsm/island , но надо на C++ переписать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

30. Сообщение от Аноним (1), 04-Янв-26, 16:31	+1 +/–
Разбери. Причем во время разбора тебе надо учесть, для кого пилится система: для обычного пользователя, который кликает Install -- и сразу развернулась приложуха с zero configuration изоляцией. Без всяких стремных useradd. Ах да, забыл упомянуть -- поддержка иммутабельного readonly /etc также крайне желательна, так что хрен ты вызовешь useradd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

31. Сообщение от Аноним (31), 04-Янв-26, 16:40	–2 +/–
> И ты не видишь чужих процессов ничего, systemctl status мне их покажет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

33. Сообщение от Аноним (33), 04-Янв-26, 16:47	+/–
Справку от священника забыл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

34. Сообщение от Аноним (37), 04-Янв-26, 16:54	+/–
какой glibc конечно не надо писать.. как всегда
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Аноним (37), 04-Янв-26, 16:55	+/–
там а самому сделать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

36. Сообщение от Аноним (37), 04-Янв-26, 17:06	+1 +/–
сделай appimage и следы в хомяке исчезнут. чтоб совсем не сомневаться, запусти систему в режиме live )) и да, appimage можно запускать в firejail, как и самому писать профили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #38

37. Сообщение от Аноним (37), 04-Янв-26, 17:12	+1 +/–
а как положить .desktop-файлы не туда куда надо? ))) если опасаешься собственной криворукости запуска "иконки", то бери терминал и запускай firejail там. чтобы не терзаться в сомнениях чем там пакет во флэтхабе, собери себе appimage  и запусти в firejail ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

38. Сообщение от Аноним (38), 04-Янв-26, 17:30	+/–
Сделай то, сделай сё... Согласись, звучит куда сложнее, чем "нажать кнопку Install -- и получаешь SOTA zero configuration изоляцию с безопасными дефолтами." И да, главной ЦА должны оставаться обычные пользователи, и должен покрываться такой распространенный случай, как "быстренько попробовать приложение, запустить, а затем удалить" -- в firejail вначале придется потратить час на конфигурирование этого дела, а во флатпаке это три клика: Install, Open, Uninstall.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #39

39. Сообщение от Аноним (39), 04-Янв-26, 17:39	+/–
в безопасности нет решения - "нажать кнопку "Чтоб стало ЗАЕ***Ь" в большинстве случаев, чтобы тестового поставить пакет, достаточно запустить систему в live чуть сложнее - откат к предыдущему состоянию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #40

40. Сообщение от Аноним (1), 04-Янв-26, 17:50	+/–
> в безопасности нет решения - "нажать кнопку "Чтоб стало ЗАЕ***Ь" Решение есть, просто ты упорно его игнорируешь. > достаточно запустить систему в live Ребутнуться? Это даже хуже решения с "вводить пароль каждый раз при установке/удалении приложения", потому что установочный скрипт сделает useradd для DAC. (И все равно после этого приложуха сможет скриншотить чужое и иметь доступ к вообще всем пользовательским сервисам.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #58

41. Сообщение от Аноним (9), 04-Янв-26, 17:58	+/–
Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы третьими. В идеале, в реале хотьи нежелательно, но могут эти лица и пересекаться. В случае же флэтпак это однозначно одни и те же лица. Вот это нахожу странным - доверять изоляцию приложений его же автору и сборщику.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #46

42. Сообщение от Аноним (42), 04-Янв-26, 18:04	+/–
Зачем нужны flatpak, Wayland и профили, когда есть юзеры, разные tty с разными X-серверами и сборка с сорцов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

43. Сообщение от Аноним (42), 04-Янв-26, 18:06	+/–
Нет, между tty переключился через Ctrl+Alt+FX.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

44. Сообщение от Аноним (42), 04-Янв-26, 18:09	–1 +/–
> Пользователи видят процессы друг друга by design. Это понятно. А минусы будут? Это на безопасность не влияет никак. > Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default. Добавь отдельный адрес на лупбэк интерфейс и через {ip,nf}tables разреши трафику исходить на этот адрес только от одного юзера, который свои важные штуки будет биндить именно на этот адрес. Я так и делаю. > Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default. Но юзеры у нас у разных "окружений задач" разные. > Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит). Polkit и sudo в нормальных системах отсутствуют, а в su через, условно, PAM можно задать разрешение логиниться в рута только одному пользователю, либо вовсе не иметь "доверенного" пользователя для логина в рута, а логиниться в рута на отдельном tty.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

45. Сообщение от penetrator (?), 04-Янв-26, 18:11	–1 +/–
а доступ к буферу обмена есть у всех? ))) я бы вообще не рассчитывал на изоляцию между приложениями если ты не контролируешь их код, на крайний вариант VM, и то это неидеально
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #47, #49

46. Сообщение от penetrator (?), 04-Янв-26, 18:17	+1 +/–
> Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы > третьими. В идеале, в реале хотьи нежелательно, но могут эти лица > и пересекаться. В случае же флэтпак это однозначно одни и те > же лица. Вот это нахожу странным - доверять изоляцию приложений его > же автору и сборщику. что-то тебя понесло, ты доверяешь той половине которую не изолируешь, но не доверяешь той половине которую пытаешься изолировать, хотя нет никаких оснований доверять или не доверять той или иной половине разработчкиков а если есть недоверие, то как минимум виртуалка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

47. Сообщение от Аноним (1), 04-Янв-26, 19:01	+/–
ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак), и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа просто запустят за секунду podman run и получат дефолт, в котором приложение не видит вообще ничего, кроме uname ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #56, #59

48. Сообщение от Аноним (42), 04-Янв-26, 19:48	+/–
1. Кто запретил запускать Иксы в самих юзерах на разных tty? 2. Как? На каталог /run/user/<id_user> права всегда 0700.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

49. Сообщение от Аноним (42), 04-Янв-26, 19:49	+/–
> а доступ к буферу обмена есть у всех? ))) При запуске разных X на разных tty — нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

50. Сообщение от Аноним (50), 04-Янв-26, 20:31	–1 +/–
>профили изоляции для игровых движков Объясните мне, зачем изолировать какой-то конкретный игровой движок? Нет унивесрального решения для изоляции, которое бы подходило для любого? Да и вообще зачем их изолировать? Просто спрашиваю, т.к. не особо разбираюсь в этом (да, я понимаю, что важно иметь возможность изолировать приложение от сети и прочего в целом). Спасибо заранее.
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (51), 04-Янв-26, 20:34    Скрыто ботом-модератором	+/–
что такое "вяленый" ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

52. Сообщение от BrainFucker (ok), 04-Янв-26, 21:47	–2 +/–
А какие преимущества над bwrap и прочих аналогов? > firejail предельно прост в конфигурации И по ссылке куча какого-то текста с множеством нюансов и предупреждений о потенциальных проблемах.
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Аноним (53), 04-Янв-26, 22:57    Скрыто ботом-модератором	+/–
Слово похожее увидел?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

54. Сообщение от Аноним (53), 04-Янв-26, 23:12	+/–
> Линукс не юникс И? В нём нельзя создавать пользователей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

55. Сообщение от мяв (?), 04-Янв-26, 23:39	+/–
по-моему, то, что Вы описали на счет шины, делается через полкит. там прям четко можно запретить/разрешить и выставить политику по умолчанию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

56. Сообщение от мяв (?), 04-Янв-26, 23:43	–1 +/–
а namespace-господа случайно эскалацию привелегий через вулн в изоляторе, или тем более uns не хотят ? реальные господа причесывают ~~MAX~~ MAC. их, правда, трудно так назвать ..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #57

57. Сообщение от Аноним (1), 05-Янв-26, 04:22	+/–
Покажи мне хотя бы одну подсистему, в которой не было уязвимостей. А так конечно да: сидеть в пещере без компа безопаснее всего. В компах бывают уязвимости -- шок!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

58. Сообщение от Аноним (39), 05-Янв-26, 21:52	+/–
Игнорирую бездоказательные утверждения ) ну если "ребутнуться" - это запустить в live, то все изложенное дальше ШЛАК ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

59. Сообщение от penetrator (?), 06-Янв-26, 01:06	–1 +/–
> ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем > временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак), > и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой > /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа > просто запустят за секунду podman run и получат дефолт, в котором > приложение не видит вообще ничего, кроме uname ядра. что за мусор я сейчас прочитал? кто слился? куда слился? что ты пытаешься не сказать? --- по поводу контейнеров namespaces я могу и в systemd изолировать, и юзеров тоже там же прописать, контейнеры это последcтвия пропихивания микросервисов везде где не нужно, этот зоопарк надо деплоить и  появился ответ в виде compose и кубер, а так он нах "не нужон" flatpak юзаю, но только для случаев когда нет родных пакетов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #60

60. Сообщение от Аноним (1), 06-Янв-26, 11:34	+/–
> кто слился? куда слился? Перечитай комменты, чувак. Я предложил два кейса, где DAC нихрена ничего не разграничивает. Ты на них ответил? Нет. Вместо этого ты внезапно пошел обсуждать погоду на Марсе^W^W^W производство зонтов^W^W влияние Сатурна на животноводство^W^W^W^W буфер обмена. > namespaces я могу и в systemd изолировать Молодец. Значит ли это, что systemd следует использовать для деплоя серверных и десктопных приложений? Нет, абсолютно не значит. Человеческая природа такова, что самый конец текста запоминается лучше всего, поэтому вот тебе напоминание в самом конце: ты нихрена не ответил на мои два примера того, как DAC нихрена ничего не разграничивает, когда шаренный ресурс -- не файл, а сокет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

61. Сообщение от Аноним (-), 06-Янв-26, 16:56	+/–
связка firejail + appimage в теории гораздо круче флетпака. во-первых, firejail позволяет гибко настроить доступ к ресурсам. во-вторых, всегда можно сохранить копию старой версии проги. в-третьих, теоретически appimage имеет в составе все зависимости. однако, на практике, когда я пытался запустить многие аппимаги со стандартными для флетпака фичами вроде --net=none --ipc-namespace --caps.drop=all --private=directory, то половина прог вообще не запускалась. я пробовал использовать встроенные профили. например аппимагу double commander с преднастроенным профилем file-manager-common.profile однако оно нихрена не запускалось или работало с большими проблемами с доступом к файлам. многие другие аппимаги известных прог тоже не работали с преднастроенными профилями, из чего можно сделать вывод, что профиля фаерджейл написаны криво. пробовал для прикола собрать минимальную генту на sway без гтк и без qt, чтоб все либы были чисто в аппимагах. но, увы, не запустилось ничего, потому что большинство аппимаг требует установленных в систему гтк и кутэ-говна. тогда я бросил эту идею построить минимальную систему на аппимагах изолированных через firejail, так как это слишком хорошо, чтобы быть правдой. теперь юзою флетпак, быстро настраиваю доступ через flatseal, хотя хорошо понимаю, что любая песочница взламывается, софт на флетхаб типа стима и хрома выкладывают непроверенные разработчики, да и вообще попытка изолировать среднестатистический линукс обречена. короче, пацаны, ставьте федору, убунту, а лучше сразу венду, потому что редхет со своим дерьмом всё равно превратит линукс в младшего брата венды для контейнеров и серверов.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема