cwbe coordinatez:
101
63540
63542
2109677
63692
8890100

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::8
total children::4
show[ 2 | 3] flat


...jak se v prostředí linuxu řeší vzájemná izolace programů mezi sebou?
na windows je pro mne dlouhé roky zcela nepostradatelná aplikace sandboxie,
je podobná aplikace na linuxu, nebo nějaký postup, jak dosáhnout stejného výsledku?

jedno řešení bylo bylo nainstalovat si Qubes OS,
což by řešilo mnohé, ale stále jsem se k tomu ještě nedostal časově a asi ani vědomostně =)

jak na to tedy v klasickém linuxu?
řeší to např. spouštění programů pod jinými uživateli, nebo něco podobného?

--

mé současné použití sandboxie je např. takové,
že mám nainstalované 3 různé prohlížeče, každý na svém vlastním písečku.
jeden na běžný internet, další na práci a třetí na nedůvěryhodné weby.
každý si žije ve svém, nemá práva měnit cokoli mimo svůj sandbox.

na sandboxie ocěňuji možnost nastavit si oprávnění jak potřebuji.
např.:
1) mám starou aplikaci, která se celá rozbije, když se hned po instalaci pokusí aktualizovat ze serveru, který již neexistuje. vytvořím si tak pro ní sandbox, kterému vezmu internet. tedy já mohu klidně s internetem fungovat, ale tato prastará aplikace k internetu přístup nemá.

2) některé aplikace mají zcela omezený zápis na disk,
ale přitom mohou bez problému číst existující soubory.
když ale něco nového zapíšou (nebo chtějí přepsat existující soubor)
sandboxie to odchytí a uloží si změnu jen u sebe "lokálně" v daném sandboxu.

3) sandbox může být nastavený tak, že když se vypne aplikace v něm běžící,
tak se zahodí všechny provedené změny. často tak používám ne testování,
kdy mám předpřipravený výchozí stav aplikace, ten když spustím je vždy stejný,
jakékoli změny od výchozího stav se po konci práce zahodí a mám zase čistý stůl.

4) jednoduché sestřelení všech dílčích procesů.
když se občas nějaký program sekne, je snadné ukončit celý sandbox
se vším, co v něm běží a nemusím vyzobávat jednotlivé procesy.

5) jednoduchá záloha i komplexních aplikací.
když má nějaká aplikace rozházené soubory a konfigurace na vícero místech,
tak ji nechám běžet přes sandboxie, tam si měni a zapisuje vše, co je potřeba.
když potřebuji udělat zálohu, tak jen hodím do zipu celý sandbox
a jednoduše odzálohuji vše potřebné nebo přenesu jinam.




00000101000635400006354202109677000636920889010008890676
ziman
 ziman      12.07.2021 - 15:44:12 , level: 1, UP   NEW
asi aufs/unionfs/overlayfs (na subory) + cgroups na rozne ostatne sandboxovanie

neviem, ci je na to nejaky unifikovany program, ktory by to cele manazoval

00000101000635400006354202109677000636920889010008890667
ulkas
 ulkas      12.07.2021 - 15:30:40 (modif: 12.07.2021 - 15:31:36), level: 1, UP   NEW !!CONTENT CHANGED!!
ja pouzivam virtualbox. najma aj pre moznost snapshotovat, a aj pre zvysenu bezpecnost (imho lepsia ako len pri cistom sandboxe). qubes os sa mi nepodarilo rozumne rozbehat, vtedy som mal este celkom novy ryzen procak a tusim neboli rozumne drajvre atd.

sprav si prvotnu minimalisticky desktop box, ktory budes len klonovat pre kazdu dalsiu vec, co chces spustat. tento default box napriklad mam odladeny, aby:
- zaberal najmenej miesta (debian xfce, vsetko ostatne bolo radovo vacsie)
- doinstalovane vsetky drajvre a updaty
- nahodena VPN
- default shared adresar s hostom uz nahodeny
- odinstalovany vsetok bloatware (libre office napriklad)
- detaily ako vypnuty setric obrazovky atd, z hlavy to uz neviem len viem ze mi trvalo mesiac odladit takyto basic box a vzdy som nasiel nieco, co som po naklonovani musel este zmenit

najradsej mam snapshotovanie z toho, usetri vela casu (najme pri reinstalacii systemu, pripadne portovania na laptop - staci skopirovat ten image a spusti sa mi desktop s otvorenymi oknami a sessions tak, ako som ho uzavrel). bezi mi takto simultanne niekolko virtualiek paralelne, dokopy mam asi 10 funkcnych enviromentov, co pravidelne pouzivam.
zohnal som rychlu ram, aby mi otvaranie a zatvaranie virtualiek bralo najmenej casu (5GB active image state cca 5 sekund), odkedy mam ale 32gb tak uz toto neriesim.

00000101000635400006354202109677000636920889010008890477
bakany
 bakany      12.07.2021 - 09:19:31 , level: 1, UP   NEW
snap

00000101000635400006354202109677000636920889010008890299
mirex
 mirex      11.07.2021 - 16:12:28 , level: 1, UP   NEW
Neriesil som to, takze dam iba keywords co googlit:
apparmor
https://alternativeto.net/software/sandboxie/?platform=linux
snap (instalator pre linux pre niektore apky, myslim ze sandboxuje, nie som si isty)

0000010100063540000635420210967700063692088901000889029908890416
krvsh
 krvsh      11.07.2021 - 22:31:14 , level: 2, UP   NEW
neviem či Snap náhodou nesandboxuje až do takej miery, že v snap aplikáciach neotvoríš súbory z vlastnej plochy :)

000001010006354000063542021096770006369208890100088902990889041608891550
nino
 nino      15.07.2021 - 13:30:44 , level: 3, UP   NEW
ja si pamatam, ze mi nesli otvorit subory z USB disku (viac)

000001010006354000063542021096770006369208890100088902990889041608890467
mirex
 mirex      12.07.2021 - 08:58:30 , level: 3, UP   NEW
Pochybujem, mam v tom instalovane:
bluemail (mail klient)
Visual studio code (vyvojove prostredie)
Josm (editor map)
skype (komunikacia)
Teams (komunikacia)
Zoom (komunikacia)

vsetky z nich potrebuju internet aj local storage, aj ukladat subory - a funguju.

00000101000635400006354202109677000636920889010008890299088904160889046708890504
krvsh
 krvsh      12.07.2021 - 11:26:21 , level: 4, UP   NEW
Už si nepamätám presne, mal som z toho nervy, keď som používal Glimpse, ktoré ináč než cez Snap (a zo zdrojákov) nainštalovať nejde.

Keď tak nad tým rozmýšľam, mohlo to byť ešte /tmp/ , ktoré používam dosť často.