Доступен выпуск инструментария для организации работы изолированных окружений Bubblewrap 0.6, как правило используемый для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений.  Код проекта написан на языке Си и распространяется под лицензией  LGPLv2+...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56764

• Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Аноним, 14:25 , 26-Фев-22
  • Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Anonnnym, 14:50 , 26-Фев-22
    • Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Аноним, 16:13 , 26-Фев-22
    • Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Аноним, 16:33 , 26-Фев-22
  • Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Аноним, 19:39 , 28-Фев-22
• Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Аноним, 16:10 , 26-Фев-22
  • Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,keydon, 06:27 , 27-Фев-22
  • Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Аноним, 11:01 , 27-Фев-22
• Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Kuromi, 00:04 , 27-Фев-22
  • Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,mikhailnov, 03:13 , 28-Фев-22
• Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Аноним, 09:33 , 27-Фев-22
  • Выпуск Bubblewrap 0.6, прослойки для создания изолированных ...,Аноним, 20:25 , 28-Фев-22

Действительно, неймспейсы помноженные на суид это надёжно, тот же сабж неоднократно это подтверждал. Кто-нибудь вообще пользуется? Давайте пользуйтесь, надо находить уязвимости.

Я пользуюсь - игры в стим не работают и это печалит. Приходится через flatpak пускать, а он свою копию системных либ тащит

Дистрибутивоцентричный Линукс глубоко ущербная парадигма.  

Не проще для проприетарных игрушек отдельного юзверя завести с отдельными иксами?

> неймспейсы помноженные на суид это надёжно

Там либо user namespaces, либо лимитированный suid. Опеннет-эксперт неоднократно помноженный на ноль - вот, что действительно ненадежно.

С этими флатпаками никогда не поймешь в какие хостовые папки у него есть доступ, а в какие нет. В каждом приложении по разному /tmp может быть у кого-то хостовым у кого-то своим. И так про все папки. Причем если и попытаешься что-то сам настроить со следующим апдейтом все слетит. Короче не нужен этот ваш флатпак думайте по новой. Сделайте лучше как в венде где всё просто работает.  

Он ещё довольно ущербно в других контейнерах работает, что неприятно для сборок использующих флэтпак(тот же хром как пример, причём там скрипт для сборки написан криво - ставит флэтпак даже если он и не нужен)
И уже натыкался на людей которые ставят пакет через флэтпак и забывают про него, а потом удивляются почему это конфиг не применяется с хвостовой машины. Да, они ССЗБ что не знают инструментов которые используют, но проблему лишней сущности это не отменяет.
Ну и в целом концепция флэтпака ущербная, позволяет разработчикам разжижать мозги и делать тяп-ляп вместо "подумать и переделать"
Так что пользы от него пока никакой, а вреда уже слишком много

Сделайте ему клавишу "Zaipis!"

"На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений."
Не только, Gnome Web тоже использует его чтобы вэбкит изолировать.

Сам вебкит это делает

> Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера.

А в чем тогда разница между пакетами bubblewrap и bubblewrap-suid в Arch? Зачем два варианта?

bublewrap-suid для hardened ядра, там user namespaces отключены. bubblewrap для всех остальных.