14 ноября 2016 г. 7:26:57 GMT+03:00, Victor Wagner <vitus@wagner.pp.ru> пишет:
On Sun, 13 Nov 2016 20:11:41 +0300
Михаил Касаджиков <hamer@h13online.net> wrote:
13.11.2016 19:36, Victor Wagner пишет:
Ну то есть имеет смысл отказаться от firejail и вместо этого
использовать решения на базе schroot, если не kvm, где будут
отдельные /bin и /home
с ОТДЕЛЬНЫМИ бинарниками и скриптами, которые никаким образом не
связанны с основной
системой, и не содержат ничего лишнего чисто
физически?
KVM, наверное — перебор. Я использую LXC для всякого «непойми что». В
контейнер пробрасываю только иксы и пульсу — этого достаточно для
всяких скайпов, хромов и иже с ними. Места такие контейнеры занимают
существенно меньше чем полновесная виртуалка и памяти требуют тоже
меньше.
В LXC в первую очередь требуется пробрасывать сеть. Поэтому я считаю
что для домашней машины или ноутбука LXC - тоже перебор. Если только
мне не расскажут
про какой-нибудь удобный инструмент управления
файрволлом для типичного сетапа LXC, который позволит аккуратно
зарезать лишнее. Впрочем, skype в этом плане весьма пакостен - никогда
не знаешь на какие хосты ему надо коннектиться и зачем.
Вот обычный c
chroot, который делит сеть с хостом - это в самый раз. Для skype я и
использую решения на базе schroot. А вот с telegram - поленился,
польстился на готовый профиль в firejail.
Кстати, firejail тоже нормально работает потому что
ядро у меня давно
либо из back-ports, либо собрано из linux-source из stretch. Собирал,
кстати, как раз для использования LXC не от рута — в «стабильном»
ядре с этим были проблемы.