https://opennet.ru/openforum/vsluhforumID3/129876.html Доступен выпуск инструментария для организации работы изолированных окружений Bubblewrap 0.8, как правило используемый для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58721<br> https://opennet.ru/openforum/vsluhforumID3/129876.html#67 Sat, 04 Mar 2023 13:14:23 GMT &gt; Это называется Unix-way. Полагаю, сравнение демонстрирует одно из достоинств Bubblewrap <br>&gt; - модульность.<br><br>Суть в том, что по функционалу сам по себе он умеет сильно меньше, чем firejail. Этот как сравнивать grep с vim и говорить, что в первом меньше уязвимостей.<br> https://opennet.ru/openforum/vsluhforumID3/129876.html#66 Fri, 03 Mar 2023 19:45:39 GMT Для сравнения другой пример.<br><br>$ flatpak list --app &#124;wc -l<br>124<br><br>$ flatpak list --runtime &#124;wc -l<br>48<br><br>$ btrfs filesystem du -s /var/lib/flatpak<br> Total Exclusive Set shared Filename<br>22.34GiB 22.03GiB 257.19MiB /var/lib/flatpak<br><br>За редкими исключениями, это почти все графическое прикладное ПО в системе, в том числе игры (Mindustry, Wesnoth и что-то ещё). Плюс, аудио- и видеокодеки, Wine и Proton-GE Runtime, SDK для языков программирования (LLVM, MinGW, Vala, Java, Dotnet, Rust, Golang).<br><br>Что в сравнении с твоим примером:<br>Количество программ ~ x40<br>Потребление места на диске ~ x4<br><br>Выводы делай сам. Меня устраивает.<br><br>--<br><br>Меня в Flathub'е куда больше беспокоит слабый контроль за тем кто, когда и как пакетирует. Нередко ПО обновляется с запозданиями, в сравнении с роллинг-дистрибутивами, а иногда даже на полгода-год. Часто пакеты пакетируют с устаревшими зависимостями или долго не обновляют рантайм, даже когда нет проблем с API/ABI, зато есть известные уязвимости в старом. Не https://opennet.ru/openforum/vsluhforumID3/129876.html#65 Fri, 03 Mar 2023 19:07:25 GMT Проблема не только в занимаемом месте на накопителе.<br><br>Ещё - в потреблении оперативной памяти, растущем с каждой запущенной программой, слинкованной со своими "неповторимыми" версиями общих зависимостей.<br><br>А самая большая проблема кроется в актуальности (обнаруженных уязвимостей для) зависимостей, исключить которую можно только своевременным, централизованным их обновлением.<br> https://opennet.ru/openforum/vsluhforumID3/129876.html#64 Fri, 03 Mar 2023 18:48:14 GMT Это называется Unix-way. Полагаю, сравнение демонстрирует одно из достоинств Bubblewrap - модульность.<br> https://opennet.ru/openforum/vsluhforumID3/129876.html#63 Fri, 03 Mar 2023 18:45:58 GMT В NixOS вообще нет изоляции приложений. А вот используй они bwrap (--bind) для создания окружения вместо кучи симлинок, была бы и изоляция процессов, и порядок в ФС, и патчей сборки стало бы меньше. Но не шмогла.<br> https://opennet.ru/openforum/vsluhforumID3/129876.html#62 Fri, 03 Mar 2023 18:26:40 GMT В твоей цитате из новости лишь малая часть правды.<br><br>Ядро собранное с включенным CONFIG_USER_NS_UNPRIVILEGED (например, штатные ядра в Арче, кроме linux-hardened) позволяет поставлять bwrap без suid бита (например, как в штатном пакете bubblewrap в Арче) и, следовательно, запускать с привилегиями обычного пользователя. Firejail стартует только под рутом (SUID) или придётся выкинуть из него все фичи, вроде тонкой настройки сети, без которых он превратится в перегруженную версию bwrap'а.<br> https://opennet.ru/openforum/vsluhforumID3/129876.html#61 Thu, 02 Mar 2023 18:41:31 GMT &gt; Они там изначально. Дополнительные настройки реализуются в другом месте, см. passt(1). <br><br>Ну вот чуть влево вправо все реализуется отдельно. Зачем тогда сравнение с firejail?<br> https://opennet.ru/openforum/vsluhforumID3/129876.html#60 Thu, 02 Mar 2023 18:40:15 GMT &gt; способов атаковать firejail на порядки больше, чем сабж. Просто потому, что сабж <br>&gt; -- это просто прослойка над linux namespaces (читай: unshare(2) заэкспортировали в <br>&gt; виде шелл-скриптуемого бинаря). firejail тем временем пытается быть решением под ключ, <br>&gt; и его кривая реализация распространяется много дальше неймспейсов. Поэтому что в <br>&gt; прошлом, что в будущем - firejail всегда будет давать заметно большее <br>&gt; кол-во CVE.<br><br>firejail решает задачу изоляции для любого бинарника, это может быть консольная утилита или графическое приложение, не важно как я его установил себе: пакетом или просто скачал бинарь. К тому же у firejail поддерживает профили для большинства приложений из коробки. Как подобного добиться с bubblewrap? Использовать flatpack? Но это навязывание способа установки софта и соответствующей инфраструктуры откуда эти пакеты брать. <br> https://opennet.ru/openforum/vsluhforumID3/129876.html#59 Thu, 02 Mar 2023 16:15:02 GMT Вы про это?<br>[code]<br>&gt; unbuffer flatpak list &#124; rg -i platform<br><br>Freedesktop Platform org.freedesktop.Platform 21.08.18 <br>Freedesktop Platform org.freedesktop.Platform 22.08.8 <br>Mesa org.freedesktop.Platform.GL.default 21.3.9 <br>Mesa org.freedesktop.Platform.GL.default 22.3.5 <br>Mesa (Extra) org.freedesktop.Platform.GL.default 22.3.5 <br>Mesa git snapshot org.freedesktop.Platform.GL.mesa-git 23.0-branchpoint-2174-ge7c5a8b3f8f<br>ffmpeg-full org.freedesktop.Platform.ffmpeg-full <br>ffmpeg-full org.freedesktop.Platform.ffmpeg-full <br>openh264