Доступен выпуск инструментария для организации работы изолированных окружений Bubblewrap 0.6, как правило используемый для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56764
Действительно, неймспейсы помноженные на суид это надёжно, тот же сабж неоднократно это подтверждал. Кто-нибудь вообще пользуется? Давайте пользуйтесь, надо находить уязвимости.
Я пользуюсь - игры в стим не работают и это печалит. Приходится через flatpak пускать, а он свою копию системных либ тащит
Дистрибутивоцентричный Линукс глубоко ущербная парадигма.
Не проще для проприетарных игрушек отдельного юзверя завести с отдельными иксами?
> неймспейсы помноженные на суид это надёжноТам либо user namespaces, либо лимитированный suid. Опеннет-эксперт неоднократно помноженный на ноль - вот, что действительно ненадежно.
С этими флатпаками никогда не поймешь в какие хостовые папки у него есть доступ, а в какие нет. В каждом приложении по разному /tmp может быть у кого-то хостовым у кого-то своим. И так про все папки. Причем если и попытаешься что-то сам настроить со следующим апдейтом все слетит. Короче не нужен этот ваш флатпак думайте по новой. Сделайте лучше как в венде где всё просто работает.
Он ещё довольно ущербно в других контейнерах работает, что неприятно для сборок использующих флэтпак(тот же хром как пример, причём там скрипт для сборки написан криво - ставит флэтпак даже если он и не нужен)
И уже натыкался на людей которые ставят пакет через флэтпак и забывают про него, а потом удивляются почему это конфиг не применяется с хвостовой машины. Да, они ССЗБ что не знают инструментов которые используют, но проблему лишней сущности это не отменяет.
Ну и в целом концепция флэтпака ущербная, позволяет разработчикам разжижать мозги и делать тяп-ляп вместо "подумать и переделать"
Так что пользы от него пока никакой, а вреда уже слишком много
Сделайте ему клавишу "Zaipis!"
"На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений."
Не только, Gnome Web тоже использует его чтобы вэбкит изолировать.
Сам вебкит это делает
> Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера.А в чем тогда разница между пакетами bubblewrap и bubblewrap-suid в Arch? Зачем два варианта?
bublewrap-suid для hardened ядра, там user namespaces отключены. bubblewrap для всех остальных.