forum.opennet.ru - "Выпуск Bubblewrap 0.6, прослойки для создания изолированных окружений" (12)

"Выпуск Bubblewrap 0.6, прослойки для создания изолированных окружений"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск Bubblewrap 0.6, прослойки для создания изолированных окружений"	+/–
Сообщение от opennews (??), 26-Фев-22, 14:25
Доступен выпуск инструментария для организации работы изолированных окружений Bubblewrap 0.6, как правило используемый для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56764
Ответить \| Правка \| Cообщить модератору

Оглавление

Действительно, неймспейсы помноженные на суид это надёжно, тот же сабж неоднокра, Аноним (1), 14:25 , 26-Фев-22, (1)

Я пользуюсь - игры в стим не работают и это печалит Приходится через flatpak пу, Anonnnym (?), 14:50 , 26-Фев-22, (2)

Дистрибутивоцентричный Линукс глубоко ущербная парадигма , Аноним (4), 16:13 , 26-Фев-22, (4)
Не проще для проприетарных игрушек отдельного юзверя завести с отдельными иксами, Аноним (5), 16:33 , 26-Фев-22, (5) +1

Там либо user namespaces, либо лимитированный suid Опеннет-эксперт неоднократно, Аноним (11), 19:39 , 28-Фев-22, (11)

С этими флатпаками никогда не поймешь в какие хостовые папки у него есть доступ,, Аноним (4), 16:10 , 26-Фев-22, (3) –1

Он ещё довольно ущербно в других контейнерах работает, что неприятно для сборок , keydon (ok), 06:27 , 27-Фев-22, (7)
Сделайте ему клавишу Zaipis , Аноним (9), 11:01 , 27-Фев-22, (9)

На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для из, Kuromi (ok), 00:04 , 27-Фев-22, (6) +1

Сам вебкит это делает , mikhailnov (ok), 03:13 , 28-Фев-22, (10)

А в чем тогда разница между пакетами bubblewrap и bubblewrap-suid в Arch Зачем , Аноним (8), 09:33 , 27-Фев-22, (8)

bublewrap-suid для hardened ядра, там user namespaces отключены bubblewrap для , Аноним (11), 20:25 , 28-Фев-22, (12)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 26-Фев-22, 14:25 +/–

Действительно, неймспейсы помноженные на суид это надёжно, тот же сабж неоднократно это подтверждал. Кто-нибудь вообще пользуется? Давайте пользуйтесь, надо находить уязвимости.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #11

2. Сообщение от Anonnnym (?), 26-Фев-22, 14:50 +/–

Я пользуюсь - игры в стим не работают и это печалит. Приходится через flatpak пускать, а он свою копию системных либ тащит

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #5

3. Сообщение от Аноним (4), 26-Фев-22, 16:10 –1 +/–

С этими флатпаками никогда не поймешь в какие хостовые папки у него есть доступ, а в какие нет. В каждом приложении по разному /tmp может быть у кого-то хостовым у кого-то своим. И так про все папки. Причем если и попытаешься что-то сам настроить со следующим апдейтом все слетит. Короче не нужен этот ваш флатпак думайте по новой. Сделайте лучше как в венде где всё просто работает.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #9

4. Сообщение от Аноним (4), 26-Фев-22, 16:13 +/–

Дистрибутивоцентричный Линукс глубоко ущербная парадигма.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (5), 26-Фев-22, 16:33 +1 +/–

Не проще для проприетарных игрушек отдельного юзверя завести с отдельными иксами?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Kuromi (ok), 27-Фев-22, 00:04 +1 +/–

"На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений."
Не только, Gnome Web тоже использует его чтобы вэбкит изолировать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

7. Сообщение от keydon (ok), 27-Фев-22, 06:27 +/–

Он ещё довольно ущербно в других контейнерах работает, что неприятно для сборок использующих флэтпак(тот же хром как пример, причём там скрипт для сборки написан криво - ставит флэтпак даже если он и не нужен)
И уже натыкался на людей которые ставят пакет через флэтпак и забывают про него, а потом удивляются почему это конфиг не применяется с хвостовой машины. Да, они ССЗБ что не знают инструментов которые используют, но проблему лишней сущности это не отменяет.
Ну и в целом концепция флэтпака ущербная, позволяет разработчикам разжижать мозги и делать тяп-ляп вместо "подумать и переделать"
Так что пользы от него пока никакой, а вреда уже слишком много

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 27-Фев-22, 09:33 +/–

> Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера.
А в чем тогда разница между пакетами bubblewrap и bubblewrap-suid в Arch? Зачем два варианта?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

9. Сообщение от Аноним (9), 27-Фев-22, 11:01 +/–

Сделайте ему клавишу "Zaipis!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от mikhailnov (ok), 28-Фев-22, 03:13 +/–

Сам вебкит это делает

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

11. Сообщение от Аноним (11), 28-Фев-22, 19:39 +/–

> неймспейсы помноженные на суид это надёжно
Там либо user namespaces, либо лимитированный suid. Опеннет-эксперт неоднократно помноженный на ноль - вот, что действительно ненадежно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от Аноним (11), 28-Фев-22, 20:25 +/–

bublewrap-suid для hardened ядра, там user namespaces отключены. bubblewrap для всех остальных.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 26-Фев-22, 14:25	+/–
Действительно, неймспейсы помноженные на суид это надёжно, тот же сабж неоднократно это подтверждал. Кто-нибудь вообще пользуется? Давайте пользуйтесь, надо находить уязвимости.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #11

2. Сообщение от Anonnnym (?), 26-Фев-22, 14:50	+/–
Я пользуюсь - игры в стим не работают и это печалит. Приходится через flatpak пускать, а он свою копию системных либ тащит
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #4, #5

3. Сообщение от Аноним (4), 26-Фев-22, 16:10	–1 +/–
С этими флатпаками никогда не поймешь в какие хостовые папки у него есть доступ, а в какие нет. В каждом приложении по разному /tmp может быть у кого-то хостовым у кого-то своим. И так про все папки. Причем если и попытаешься что-то сам настроить со следующим апдейтом все слетит. Короче не нужен этот ваш флатпак думайте по новой. Сделайте лучше как в венде где всё просто работает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7, #9

4. Сообщение от Аноним (4), 26-Фев-22, 16:13	+/–
Дистрибутивоцентричный Линукс глубоко ущербная парадигма.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (5), 26-Фев-22, 16:33	+1 +/–
Не проще для проприетарных игрушек отдельного юзверя завести с отдельными иксами?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

6. Сообщение от Kuromi (ok), 27-Фев-22, 00:04	+1 +/–
"На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений." Не только, Gnome Web тоже использует его чтобы вэбкит изолировать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10

7. Сообщение от keydon (ok), 27-Фев-22, 06:27	+/–
Он ещё довольно ущербно в других контейнерах работает, что неприятно для сборок использующих флэтпак(тот же хром как пример, причём там скрипт для сборки написан криво - ставит флэтпак даже если он и не нужен) И уже натыкался на людей которые ставят пакет через флэтпак и забывают про него, а потом удивляются почему это конфиг не применяется с хвостовой машины. Да, они ССЗБ что не знают инструментов которые используют, но проблему лишней сущности это не отменяет. Ну и в целом концепция флэтпака ущербная, позволяет разработчикам разжижать мозги и делать тяп-ляп вместо "подумать и переделать" Так что пользы от него пока никакой, а вреда уже слишком много
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 27-Фев-22, 09:33	+/–
> Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера. А в чем тогда разница между пакетами bubblewrap и bubblewrap-suid в Arch? Зачем два варианта?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #12

9. Сообщение от Аноним (9), 27-Фев-22, 11:01	+/–
Сделайте ему клавишу "Zaipis!"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

10. Сообщение от mikhailnov (ok), 28-Фев-22, 03:13	+/–
Сам вебкит это делает
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

11. Сообщение от Аноним (11), 28-Фев-22, 19:39	+/–
> неймспейсы помноженные на суид это надёжно Там либо user namespaces, либо лимитированный suid. Опеннет-эксперт неоднократно помноженный на ноль - вот, что действительно ненадежно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

12. Сообщение от Аноним (11), 28-Фев-22, 20:25	+/–
bublewrap-suid для hardened ядра, там user namespaces отключены. bubblewrap для всех остальных.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8