Re: Странная проблема с перименованием файла
13.11.2016 19:36, Victor Wagner пишет:
> On Sun, 13 Nov 2016 00:28:05 +0300
> yumkam+debian@gmail.com (Yuriy M. Kaminskiy) wrote:
>
>> Чтобы уменьшить attack surface, firejail убирает из /bin "всякое
>> ненужное", монтируя в свежеотфорканном mount namespace "недоступный
>> файл" поверх всего-подряд (в частности, gcc, perl, python, и так
>> далее, см. /etc/firejail/disable-devel.inc); или, наоборот, собирает
>> "новый /bin", состоящий только из нужных бинарников (при помощи ровно
>> того же mount --bind).
>>
>> (IMO, это из раздела одевания презерватива на огурец, но...)
>>
>> (Ну и тоже самое с кучей файлов в $HOME, с теми же последствиями:
>> при запущенном firejail [и на ядре из jessie], сделать mv
>> ~/.bashrc{,~} тоже не получится [а вот это уже часть необходимой
>> защиты, без которой не обойтись])
> Ну то есть имеет смысл отказаться от firejail и вместо этого
> использовать решения на базе schroot, если не kvm, где будут
> отдельные /bin и /home
> с ОТДЕЛЬНЫМИ бинарниками и скриптами, которые никаким образом не
> связанны с основной системой, и не содержат ничего лишнего чисто
> физически?
>
>
>
KVM, наверное — перебор. Я использую LXC для всякого «непойми что». В контейнер пробрасываю только иксы и пульсу — этого достаточно для всяких скайпов, хромов и иже с ними. Места такие контейнеры занимают существенно меньше чем полновесная виртуалка и памяти требуют тоже меньше.
Кстати, firejail тоже нормально работает потому что ядро у меня давно либо из back-ports, либо собрано из linux-source из stretch. Собирал, кстати, как раз для использования LXC не от рута — в «стабильном» ядре с этим были проблемы.
Reply to: