Re: Как безопасно запустить недовереное приложение?
On Tue, 22 Dec 2015 15:57:29 +0200
Oleksandr Gavenko <gavenkoa@gmail.com> wrote:
> On 2015-12-22, Victor Wagner wrote:
> > Лично я для запуска skype сейчас пользуюсь schroot. Причем думаю что
> > s там на самом деле лишний. Просто schroot настолько сильно упрощает
> > настройку chroot-окружения, что сначала сделал через него, и
> > переделывать уже лень.
>
> Для schroot нужно подготавливать окружение?
Нужно.
> Я знаком с таким:
>
> $ sudo debootstrap --include=iceweasel
> stable /path/to/chroot-deb-stable/
>
Да, примерно так.
> В /etc/schroot/schroot.conf вижу записи, на подобии:
>
> directory=/srv/chroot/sid
>
> За меня будет создано рабочее окружение?
Нет, debootstrap придется позвать.
> Если есть необходимость развернуть другой дистрибутив - такому есть
> поддержка? Что бы не углубляться в особенности дистрибутива, какими
> командами развертывать... Интересуют только менйстримные дистрибутивы
> конешно.
Можно взять openvz-тный темплейт - это просто tar.gz архив с
соответствующим дистрибутивом, и туда распаковать.
Я когда-то так делал, когда мне нужно было для разных верси CentOS
собирать пакеты.
Сейчас, видимо, проще найти докерный template, чем openvz-ный, но смысл
тот же.
>
> Тут нужно быть осторожным?
Осторожным нужно быть всегда.
> Я использую рецепт с монтированием /sys, /proc, /dev в иерархии
/dev я не монтирую а руками создаю только те специальные файлы
которые нужны в chroot-окружении. В смысле, кроме тех, которые созадет
debootstrap. Для скайпа это /dev/video0. Ну и /sys не монтирую - нехрен
юзерским программам в /sys делать. А в /proc без рута по-моему ничего
испорить нельзя.
> Т.е снова вопрос в инструменте для создания окружения.
>
> Еще вопрос - если создавать окружение - то за это расплачиваешся
> пространством в хранилище?
Ну в конкретно моем случае - скайп в 64-битной системе - не
расплачиваешься. Все равно ему нужно ставить все те же 32-битные
библиотеки, которые занимают основное местов chroot. То есть
фактически одни coreutils придется в лишнем экземпляре держать.
> Для недоверенных програм типа проприетарных skype, dropbox - можно
> ведь одним окружением ограничится?
Ну это вопрос интересный. Можно подумать о том, чтобы сделать
хардлинки на все файлы из дистрибуива.
Reply to: