Кто-нибудь настроивал XSELinux для ограничения приложения от перехвата экрана, клавы и буфера обмена?

XSELinux

Что это? Оно еще живо? Оно когда-нибудь кем-нибудь поддерживалось?

policycoreutils-sandbox вам в помощь.

Оно мне заведёт OpenGL/Vulkan на видеокарте?

Если приложение уже авторизовано (xauth) в X11 у него полный доступ, и никакой selinux не поможет, т.к. библиотеки xlib/xcb ни вчем не ограничивают приложение.

xlib/xcb и не могут никого ограничивать, они клиентские

Ограничения могут быть в сервере (xorg) но кажется там их нет. Хотя кто знает, может они там есть но про них никто из современных разработчиков не в курсе.

Ограничения называются XACE, и похожe XSELinux это единственный интерфейс к ним на данный момент.

Фразы «Wayland не предлагать» в ОП не нашёл, поэтому не могу пройти мимо и не предложить Wayland 😉

Как решается проблема управления политиками доступа в Wayland?

Базовый протокол не предусматривает доступ к захвату экрана и ввода. Буфер обмена доступен, только если приложение находится в фокусе.

Для получения доступа к захвату экрана приложение должно попросить разрешение через xdg-desktop-portal. Для эмуляции/захвата ввода пока готовых к использованию механизмов нет, там только через uinput (т. е. уровнем выше).

Насколько я знаю, в Wlroots (про другие не читал) можно запустить несколько экземпляров Xwayland (с разными DISPLAY) и таким способом изолировать X11-приложения друг от друга.

Wait, what?

Кто-нибудь настроивал XSELinux для ограничения приложения от перехвата экрана, клавы и буфера обмена?

Лор решил пойти по пути сраного реддита и запретить комментировать старые треды, пришлось создать новый.

Прикольно. Когда допилят waymonad, то обязательно обмажусь! Правда, похоже допилят нескоро: сейчас проект видимо заброшен, остаётся сидеть на xmonad и затыкать дыры в иксах.

Если разрешите доступ к drm – заведет.

Уточни, пожалуйста, откуда такая информация? Я вижу что там зовётся Xephyr, который, как я понимаю, в аппаратное ускорение не может.

Не может. Но OpenGL организовать с помощью VirtualGL уже можно. dri3, наверное, не получится: это я поторопился с ответом.

А так – я бы поместил приложение в pod, тем более, что огораживать контейнеры с помощью SELinux совсем просто. Графику – через Wayland сокет. Или руками запустить еще один Xwayland сервер, mutter позволяет это делать.

В x11 с gpu слишком много дорабатывать руками в sandbox policy придется.

Обнаружил что Weston может быть иксовым клиентом. С первого взгляда кажется, что это то что надо: запускаем по вестону на каждую софтину, софтинам выдаём по личному неймспейсу с сокетом вестона.

Обнаружил что Weston может быть иксовым клиентом.

Когда weston иксовый клиент клавой/мышью управляют иксы.
Т.е. если ты запустишь в weston-е (в weston-terminal) команду xinput --test <номер мыши> ты увидишь все события мыши даже за пределами окна weston-а.

Другое дело, что иксы (Xwayland) могут быть клиентом weston-а, да еще сам weston может быть клиентом weston-а.
Вот тогда можно будет воспользоваться возможностями wayland-а (если они есть, я не проверял).

Короче, как-то так ;)

Тест с xinput из предущего сообщения неправильный, он везде работает ;)

А вот если наоборот, xinput --test <номер мыши> запускать в иксах (Xorg или weston+Xwayland), а мышью возить во вложенном weston-е, то разница есть.

В случае (weston(drm)+Xwayland)+weston-окно(wayland-backend.so, не x11-backend.so (такой тоже можно запустить)) когда я вожу мышкой в окне вложенного weston-а иксы событий не получают! Запускал все от одного пользователя, никаких прав не менял.

Когда weston иксовый клиент клавой/мышью управляют иксы.

Не, тормознул.
Если в weston-е войти другим пользователем и не дать ему авторизоватся в X-сервере, дав только доступ к вяленому сокету, то событий в корневом X-сервере он не увидит.

Когда допилят waymonad, то обязательно обмажусь! Правда, похоже допилят нескоро: сейчас проект видимо заброшен, остаётся сидеть на xmonad

Можно попробовать vivarium или river.