| 1.1, Аноним (1), 12:14, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
bubblewrap лучше. А флатпак еще лучше (именно с точки зрения изоляции, а не способе доставки приложений, который мне тоже противен).
| | |
| |
| 2.2, Аноним (2), 12:28, 17/01/2023 [^] [^^] [^^^] [ответить]
| –10 +/– |
Это уязвимые технологии, чем сложнее тем больше вектор атаки. Именно с точки зрения изоляции это всё дно, изоляция невозможно, это всё миф для наивных хомяков.
| | |
| |
| 3.4, Аноним (1), 12:42, 17/01/2023 [^] [^^] [^^^] [ответить]
| +4 +/– | |
изоляция возможна, это не миф, а реальность. Но есть втюхнологии, которые изоляции почти не поддаются:
- иксы: спасибо дидам, изоляции нет вообще, через Xephyr не пробросишь видюху, а Xpra показывает слайдшоу на локалхосте так, словно подключаешься к компу в антарктиде
- pulseaudio: спасибо большое поттерингу. К счастью есть pipewire.
- d-bus: спасибо аффтарам, изоляции нет. К счастью флатпак явил миру dbus-proxy.
| | |
| |
| 4.8, Аноним (2), 13:27, 17/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Изоляция на обычном железе физически не осуществима. QubesOS это раз за разом подтверждает, и обычная виртуализация это просто шутка. Изоляция никогда не работала и изоляция не на физическом уровне так тем более. И новые костыли только оказываются ещё более дырявыми.
| | |
| |
| 5.13, Аноним (1), 14:04, 17/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
У тебя просто какое-то свое особое определение слову "изоляция". Среди обычных людей это слово означает, что ядро и прочие системные компоненты будут возвращать фуфловые ресурсы при использовании их официальных апи. К примеру, readdir от корня вернет фуфловый список файлов, не имеющих отношения к реальной системе, а официальный апи какого-нибудь пульсаудио сообщит изолированному приложению, что микрофона нет, даже если в реальной системе он есть. И лишь явное разрешение от пользователя может заставить тот или иной апи ответить не фуфелом, а реальностью. Следующая еще более защищенная ступень после изоляции - это виртуализация, но не всем интересно терять в производительности.
| | |
| |
| 6.14, Аноним (2), 14:09, 17/01/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Я о том и говорю, что это баззворды для хомяков. Изоляция, которая элементарно обходится. Виртуализация, которая по своему принципу ничего не может изолировать. Это у тебя какие-то свои определения.
| | |
| |
| 7.31, Аноним (31), 18:40, 17/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ты ещё скажи что докеры всякие используются безопасности ради, а не из-за радикального удешевления управления окружением, когда поднимать и тушить контейнеры можно по щелчку пальца, получая достаточно чистый stateless ресурс, в котором перезапуск гарантирует очистку всяких временных файлов, зомби-процессов и прочего.
| | |
| |
| |
| 9.49, Аноним (49), 02:16, 19/01/2023 [^] [^^] [^^^] [ответить] | +/– | чел, тяп-ляп-в-продакшн неизбежное следствие того, что хотелки заказчика нужно... текст свёрнут, показать | | |
|
|
|
|
| 5.42, 1 (??), 10:00, 18/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Межделмаш со своим LPAR не согласна с тобой с прошлого века.
| | |
| |
| |
| 7.56, mos87 (ok), 09:48, 19/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
 джо настолько неуловим, что приносит голубым триллиарды зеленых президентов.
| | |
| |
| 8.62, Аноним (2), 10:49, 19/01/2023 [^] [^^] [^^^] [ответить] | +/– | Да, читал сборочную инструкцию Я так понял, это только венды касается, потому ч... текст свёрнут, показать | | |
|
|
| 6.57, mos87 (ok), 09:50, 19/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
виртуализация, распараллеливание, многопроцессорность, железное ускорение операций и т.д. и тому подобное родом из 60х-70х
это только васяны думают, что 64bit родились с Атлонами.
| | |
|
|
| |
| 5.55, Аноним (55), 09:13, 19/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Не поддерживается virgl на половине машин, где вообще может понадобиться изолировать Иксы. И не для того уходят от виртуализации в изоляцию, чтобы вновь к этому возвращаться.
| | |
|
|
| 3.6, Бывалый смузихлёб (?), 13:10, 17/01/2023 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> изоляция невозможно, это всё миф для наивных хомяков.
Ты ещё скажи, что презики не защищают от кучи болезней
Но, вообще-то, реально не защищают. Ни от вич, ни от гепатитов. В лучшем случае, от детей, да и то не всегда
| | |
| |
| 4.33, Аноним (33), 19:52, 17/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Риск заразиться ВИЧ при сексе с заведомо инфицированной самкой без преза - 1.5%. Если вы не садисты, конечно. Риск заразиться через слюну и бытовым путём - 0, так как для заражения необходимы активный вирус и микротравмы.
| | |
| |
| 5.43, 1 (??), 10:02, 18/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Завсегда можно заполучить эту заразу при переливании крови (почти 100% успеха) и стоматологии.
| | |
|
|
|
| |
| 3.26, Big Robert TheTables (?), 15:57, 17/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года[1][2][3]. Она состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питания), эта подсистема продолжает работать, даже когда компьютер отключен
эта подсистема продолжает работать, даже когда компьютер отключен
даже когда компьютер отключен
| | |
|
| |
| 3.18, Аноним (1), 14:46, 17/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
bubblewrap - низкоуровневая утилита. Флатпак - конечное решение, в котором используется множество низкоуровневых утилит, включая (но не ограничиваясь) bubblewrap.
| | |
|
|
| 1.3, Аноним (12), 12:38, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения
А можно как-то для изолируемого приложения добавлять библиотеки, которые отсутствуют в хостовой системе без размещения их в хостовой?
| | |
| 1.7, Аноним (7), 13:15, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
> позволяющую минимизировать риск компрометации основной систем
> при запуске не заслуживающих доверия или
> потенциально уязвимых программ.
> Программа написана на языке Си,
Авторы знатные тролли
| | |
| |
| 2.27, ИмяХ (?), 16:12, 17/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Самое главное:
>>исполняемый файл firejail устанавливается с флагом SUID root | | |
| 2.37, Аноним (37), 23:39, 17/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
 > Авторы знатные тролли
Движок опеннета тоже:
> Главная ссылка к новости (https://github.com/netblue30/f...)
> OpenNews: Уязвимость в firejail, позволяющая получить root-доступ в системе
> OpenNews: Опасные уязвимости в Firejail, Connman и GNU Guix
> OpenNews: Выпуск системы изоляции приложений Firejail 0.9.62
> OpenNews: Серия уязвимостей в Firejail
> | | |
|
| 1.15, Аноним (15), 14:12, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> состав контейнера формируется на лету на основе содержимого текущей ФС
Меня это настораживает.
| | |
| |
| |
| |
| 4.50, Вы забыли заполнить поле Name (?), 03:06, 19/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Есть какие-то прям супер плюсы?
Не могу сказать. Я искал изоляюцию для приложений, чтобы было просто настроить и выбрал его. Использую для повседневных приложений: браузер, почтовый клиент, редактор, плеер, менеджер паролей и т.п. Для всех приложений были профили из коробки, единственное, что я правил это добавлял доступ к некоторым директориям, например, чтобы их браузер видел. Из последнего вытекает проблема, что бывает сложно понять почему в приложении перестает работать какой-то функционал, например, в том же firefox c дефолтным профилем молча не работает кнопка "открыть скачанный файл в директории", потому что в изоляции firefox не видит чем открывать.
| | |
|
|
|
| |
| 2.32, Аноним (31), 18:44, 17/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Конечно, многим удобная и дешёвая масштабируемость нужна без сильных потерь в производительности. Контейнеризация для одних задач, виртуализация для других.
| | |
|
| 1.34, Аноним (34), 20:02, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Если так все просто, почему на системном уровне это давным давно не встраивают в линуксы? Нахрена еще одна программа
| | |
| |
| 2.40, ПомидорИзДолины (?), 08:08, 18/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
На системном уровне все с 2007 года встроенно.
Но для использования этих технологий напрямую у одних не хавтает мозгов, а у других времени.
| | |
|
| 1.38, yet another anonymous (?), 23:58, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.
Удивительные слова. Собственно, т.н. "подготовка" (чтобы всё ещё можно было работать, но не про..ть все полимеры) и составляет основную проблему пользования SE/AppArmor/Astra. И этим занимаются вполне себе квалифицированные команды. А тут --- "каждая домохозяйка...".
Не верю. (C) Алексеев.
| | |
| 1.45, Аноним (45), 11:02, 18/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации
Так может написать только человек _ни разу_ не пользовавшийся firejail.
В качестве несложного домашнего задания предлагаю анонимам запустить в firejail chromium так, чтобы он не вылезал из netns.
| | |
| |
| |
| 3.54, Аноним (45), 05:25, 19/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Вот ты понимаешь, что там написано?
Я нет. Кроме того, что если хромого запускать с правильным ключом, он соглашется не вылезать из сендбокса.
| | |
|
|
| 1.47, Аноним (-), 22:30, 18/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
С вланами до сих пор грохает сеть?
Странно это, изоляция сети - одна из главных функций, а поправить никто не может. А было бы удобно..
| | |
| |
| 2.53, Аноним (53), 04:30, 19/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Вланы на локалхосте — это какое-то ультракраснoглазие. Серверы обычно таким не страдают, за исключением очень специальных серверов, которые крайне редко нужны в реальности.
| | |
|
|
