|1.1, Аноним (1), 10:55, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и более гранулярно. Можно даже задать, к каким именно системным/сессионным D-Bus-сервисам приложуха может иметь доступ (флатпак дает фильтрующий прокси). А еще файловая иерархия становится предсказуемее: для удаления вообще всех данных приложения, надо сделать 'rm -rf ~/.var/app/$APP_ID'. И всё. Не надо бегать по темным уголкам хомяка, выискивая как-то следы приложухи по mtime и прочим хреням. Ну и божественный вяленый конечно. Флатпак + вяленый = железобетонная изоляция. Калькулятор не сможет заскриншотить твой экран и отправить скриншот китайцам. Ну и ключевое преимущество: именно разработчик занимается созданием "профилей" для своих приложух, а не какой-то сторонний вася, как в сабже.
|2.9, Аноним (9), 11:52, 04/01/2026 [^] [^^] [^^^] [ответить]
Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений из состава дистрибутива. Ничего со стороны в систему не устанавливается.
|2.15, Аноним (15), 13:04, 04/01/2026 [^] [^^] [^^^] [ответить]
Разработчик трояна ограничивает доступ своего трояна к системе. Хитро, ничего не скажешь. Троянописатели в восторге от возможностей задать все права доступа.
|2.16, Аноним (16), 13:44, 04/01/2026 [^] [^^] [^^^] [ответить]
firejail и bubblewrap интегрируются с системным ПО.
flatpak навязывает свой репозиторий (нельзя перебиндить рут, и даже просто задать другой путь при бинде), который либо сопровождать самому, либо мириться, что софт в Flathub-е собирает кто попало и как попало.
|3.21, Аноним (1), 14:02, 04/01/2026 [^] [^^] [^^^] [ответить]
> firejail и bubblewrap интегрируются с системным ПО
Оба никак не интегрируются с системным ПО. Под "интегрироваться" имеем в виду, что .desktop-файлы должны изначально лежать где надо, и запускать механизм изоляции вместо оригинального приложения. А bwrap и вовсе низкоуровневая утилита, она ничего этого делать уметь не должна. А firejail подразумевает, что ты каким-то образом перебьешь системный .desktop-файл своим собственным. И смотри, не ошибись, а то при клике на иконку возможно запустишь оригинальный бинарь!
Во флатпаке же интеграция сделана по-правильному. Ты сразу получаешь правильный .desktop-файл, который невозможно запустить неверным образом. И правильную команду в $PATH, которая тоже заредиректит на флатпак.
> flatpak навязывает свой репозиторий
Это преимущество и недостаток одновременно. Лично для меня -- преимущество, потому что софт во флатпаке обычно свежее того, что приходит из дистра. В особенности хромиум с его частыми 0-day. А так, не все ли равно, откуда приходит софт? Во флатхабе хоть все манифесты ревьюятся сообществом со всех дистров одновременно.
> софт в Flathub-е собирает кто попало и как попало
Софт во флатпаке частенько собирают оригинальные разработчики софта, то есть апстрим.
|1.3, localhostadmin (ok), 11:00, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
Дежурное напоминание: во всех юниксах можно создавать пользователей и настратвать им привелегии. Пользуйтесь этой информацией как хотите
|2.5, Аноним (5), 11:44, 04/01/2026 [^] [^^] [^^^] [ответить]
Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail и аналоги.
|2.6, Аноним (6), 11:45, 04/01/2026 [^] [^^] [^^^] [ответить]
дежурное напоминание:
можно запустить сразу несколько иксов под разными пользователями с настроенными привилегиями под разные задачи и переключаться между ними.
пользуйтесь этой информацией тоже как хотите.
|2.8, Аноним (1), 11:51, 04/01/2026 [^] [^^] [^^^] [ответить]
Давай проверим твою теорию на практике. Итак, есть три пользователя: user, app1 и app2. В этой системе user запускает иксовый сервер, и далее к нему коннектятся app1 и app2. ВНЕЗАПНО app1 может заскриншотить app2. Сработал твой DAC? Нет, не сработал. Нихрена ничего не разграничил.
Другой пример. Есть два пользователя: user и app1. user создает d-bus-сессию, а app1 к нему коннектится. Внезапно app1 имеет полный доступ ко всем d-bus-сервисам. Сработал твой DAC? Нет, не сработал. Ни в какой файл не напишешь, что "окей, app1 не имеет доступ ни к чему, кроме org.freedesktop.Notifications."
И вот так примерно со всем: шарить или не шарить network namespace, шарить или не шарить ipc namespace, давать или не давать ptrace и т. д. Никак ты это обычным DAC не разрулишь.
|2.11, bergentroll (ok), 12:31, 04/01/2026 [^] [^^] [^^^] [ответить]
> во всех юниксах можно создавать пользователей и настратвать им привелегии
Привелегии цисгендерного белого угнетателя? Типа захотел браузер — залогинился от одного юзера, захотел калькулятор — от другого.
|2.19, Аноним (16), 13:54, 04/01/2026 [^] [^^] [^^^] [ответить]
Пользователи видят процессы друг друга by design.
Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default.
Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default.
Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит).
И т.д. и т.п.
Отдельный пользователь - это хорошо. Но совершенно недостаточно.
|3.24, Энтомолог_русолог (ok), 15:15, 04/01/2026 [^] [^^] [^^^] [ответить]
> Пользователи видят процессы друг друга by design.
hidepid=1 или hidepid=2
И ты не видишь чужих процессов
Дальше разбирать твою галиматью или уже хватит того, что ты начал со вранья?
|1.7, Аноним (7), 11:48, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
|1.12, Аноним (12), 12:46, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
|2.13, Аноним (9), 12:57, 04/01/2026 [^] [^^] [^^^] [ответить]
Изоляция приложений, запущенных одним пользователем , друг от друга под виндой? Интересует, продолжай.
|2.20, Бюро Кратия (?), 14:00, 04/01/2026 [^] [^^] [^^^] [ответить]
