Re: Как безопасно запустить недовереное приложение?

To: debian-russian@lists.debian.org
Subject: Re: Как безопасно запустить недовереное приложение?
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Tue, 22 Dec 2015 17:40:29 +0300
Message-id: <[🔎] 20151222174029.36a252ae@fafnir.local.vm>
In-reply-to: <[🔎] 87si2uegc6.fsf@gavenkoa.example.com>
References: <[🔎] 874mfag4wd.fsf@gavenkoa.example.com> <[🔎] 20151222145447.7a25c75d@fafnir.local.vm> <[🔎] 87si2uegc6.fsf@gavenkoa.example.com>

On Tue, 22 Dec 2015 15:57:29 +0200
Oleksandr Gavenko <gavenkoa@gmail.com> wrote:

> On 2015-12-22, Victor Wagner wrote:
> > Лично я для запуска skype сейчас пользуюсь schroot. Причем думаю что
> > s там на самом деле лишний. Просто schroot настолько сильно упрощает
> > настройку chroot-окружения, что сначала сделал через него, и
> > переделывать уже лень.  
> 
> Для schroot нужно подготавливать окружение?

Нужно.

> Я знаком с таким:
> 
>   $ sudo debootstrap --include=iceweasel
> stable /path/to/chroot-deb-stable/
> 

Да, примерно так.

> В /etc/schroot/schroot.conf вижу записи, на подобии:
> 
>   directory=/srv/chroot/sid
> 
> За меня будет создано рабочее окружение?

Нет, debootstrap придется позвать.

> Если есть необходимость развернуть другой дистрибутив - такому есть
> поддержка? Что бы не углубляться в особенности дистрибутива, какими
> командами развертывать... Интересуют только менйстримные дистрибутивы
> конешно.

Можно взять openvz-тный темплейт - это просто tar.gz архив с
соответствующим дистрибутивом, и туда распаковать.

Я когда-то так делал, когда мне нужно было для разных верси CentOS
собирать пакеты.

Сейчас, видимо, проще найти докерный template, чем openvz-ный, но смысл
тот же.

> 
> Тут нужно быть осторожным?

Осторожным нужно быть всегда.

> Я использую рецепт с монтированием /sys, /proc, /dev в иерархии

/dev я не монтирую а руками создаю только те специальные файлы
которые нужны в chroot-окружении. В смысле, кроме тех, которые созадет
debootstrap. Для скайпа это /dev/video0. Ну и /sys не монтирую - нехрен
юзерским программам в /sys делать. А в /proc без рута по-моему ничего
испорить нельзя.

> Т.е снова вопрос в инструменте для создания окружения.
> 
> Еще вопрос - если создавать окружение - то за это расплачиваешся
> пространством в хранилище?

Ну в конкретно моем случае - скайп в 64-битной системе - не
расплачиваешься. Все равно ему нужно ставить все те же 32-битные
библиотеки, которые занимают основное местов  chroot. То есть
фактически одни coreutils придется в лишнем экземпляре держать.

> Для недоверенных програм типа проприетарных skype, dropbox - можно
> ведь одним окружением ограничится?

Ну это вопрос интересный. Можно подумать о том, чтобы сделать
хардлинки на все файлы из дистрибуива.

Reply to:

Follow-Ups:
- Re: Как безопасно запустить недовереное приложение?
  - From: dimas <dimas000@ya.ru>

References:
- Как безопасно запустить недовереное приложение?
  - From: Oleksandr Gavenko <gavenkoa@gmail.com>
- Re: Как безопасно запустить недовереное приложение?
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: Как безопасно запустить недовереное приложение?
  - From: Oleksandr Gavenko <gavenkoa@gmail.com>

Prev by Date: Re: Как безопасно запустить недовереное приложение?
Next by Date: Использовать ACL или нет?
Previous by thread: Re: Как безопасно запустить недовереное приложение?
Next by thread: Re: Как безопасно запустить недовереное приложение?
Index(es):
- Date
- Thread