А есть в онтопике годные альтернативы windows sandbox?

Чет наверное это всё-же в Desktop или Admin было бы правильней перенести.

Ты дурак или прикидываешься? Есть целые дистрибутивы заточенные на песочницы где все запускается изолированных контейнерах. Есть виртуализация внутриядерная. Есть эффективность утилизации процессорных мощностей на 30% выше. Есть возможность собрать всю систему с максимальной оптимизацией и т.д. и т.п.

Угу, есть, а где возможность форкнуть текущую систему, поиграться и выкинуть её cow форк? Допустим по части сохранности данных - можно конечно же использовать overlayfs и ему подобные. Как быть с ui, и прочими d-bus’ами?

Деды не решили эту проблему в fork’e, нынчёныши не решат и сейчас?

Но, про дистрибутивы, где всё запускается в изолированных контейнерах - тут поподробнее пожалуйста, я вот как-будто помню что что-то такое было, прям вспомнить не могу сходу.

Для ъ опиши, чего тебе надо, чего не хватает в обычной виртуалке.

qubes

Хочется иметь возможность форкнуть текущее окружение, проделать в нём какую нить дрянь не связанную с конфигурацией железа, и потом удалить за ненадобностью вне зависимости от результатов.

Хотя сейчас сообразил, что виртуалка в принципе покрывает этот сценарий, с той лишь разницей, что в виртуалке не очень удобно сидеть постоянно. Либо нужно как-то туда прокидывать всё железо.

qubes немного не то, это по виртуалке на приложение. А тут хочется иметь именно возможность ветвления одного заданного состояния.

В этом оффтопикосэндбоксе разве не виртуалка создаётся? Я таки всё ещё не понял, в чём разница.

Flatpak-и, Snap-ы, Firejail, cgroups + chroot + права, QEMU для одного приложения – выбирай, казак!

а нафиг оно в линупсе. в вантузе понятно - иначе нет методов не засирать сам вантуз

Хочется иметь возможность форкнуть текущее окружение, проделать в нём какую нить дрянь

Очень плохое хотение, потому что так ты защищаешься только от внесения изменений в основную систему, но остаёшься уязвим к краже информации.

Используй виртуальные машины.

Эта возможность предоставляется systemd-nspawn. Появилась намного раньше, чем в Windows, и работает, в отличие от.

firejail - проще, удобнее, круче.

Тоже использую.

Краткая история: первой реализацией защищенного пространства выполенния можно считать chroot, как соответствующий построенной на файлах системе, то есть, ограничение доступа к файлам и является ограничением всех доступов; по мере того, как всё больше выяснялось, что модель «всё есть файл» уже ни в какие ворота не лезет, и в первую очередь это не работает для сети — возникало больше ядерных механизмов IPC, для которых chroot не работал; тогда была создана jail во FreeBSD где-то так в 1999 году, которая стала дополнением к chroot для обрубки доступа к глобальным объектам IPC; позже подобную технологию реализовал гугель в лине (cgroups) для организации работы своих бесчисленных серверов.

И вот ты приходишь и спрашиваешь «есть ли в онтопике альтернативы windows sandbox»? Ты опоздал лет так на 10-15.

Очень плохое хотение, потому что так ты защищаешься только от внесения изменений в основную систему, но остаёшься уязвим к краже информации.

Никто не заставляет включать в эфемерный контейнер важные места.

Это нужно перечислять, альтернативой чего конкретно является windows sandbox. Альтернативой десятка существующих механизмов в линаксе, если не двух десятков. С вариациями на все цвета и вкусы, от банального докера (в котором внезапно тоже можно запускать GUI-приложения), до банального chroot + Xephyr, от банального cgroups (и механизмах на его основе - systemd-nspawn, bubblewrap, firejail, appimage, snap, etc) до банального qemu с kvm (и судя по тому, что там написано, весь этот windows sandbox - это банальная виртуалка). Такие дела.

Docker?

судя по тому, что там написано, весь этот windows sandbox - это банальная виртуалка

То есть ты вообще ничего не читал, но написал «судя по тому, что там написано». Умно…

советую посмотреть хотя бы на картинки, раз читать не можешь:

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-architecture

Там как раз все картинки сравнивают windows sandbox и виртуальные машины.

Эмм, сделать снэпшот?

Судя по картинкам, они изобрели контейнеры. Только, как обычно, всё криво и косо.

а нафиг оно в линупсе. в вантузе понятно - иначе нет методов не засирать сам вантуз

Ты наверное не знаешь, что такое песочница? Для экспериментов она. Чтобы ничего не поломать.

То есть ты вообще ничего не читал, но написал «судя по тому, что там написано». Умно…

Uses hardware-based virtualization for kernel isolation. It relies on the Microsoft hypervisor to run a separate kernel that isolates Windows Sandbox from the host.

/0

Там как раз все картинки

Да, вендовозам нужно на картинках, текст читать не нужно

Traditional VMs apportion statically sized allocations of host memory

kvm+qemu это умеют

Memory sharing

kvm+qemu это умеют

UPD: сначала подумал про другое, оказывается, они переизобрели kernel same-page merging

WDDM GPU virtualization

Это конечно круто, но это очередная фича банальной виртуалки. Под линуксом это тоже возможно, но случаи уже конечно ограничены: https://wiki.archlinux.org/index.php/QEMU/Guest_graphics_acceleration

Battery pass-through

Ололол, это есть везде чуть ли не два десятилетия

Короче, microsoft переизобрел kvm с virtio-штуками для шинды. Опять же, альтернатива того, что уже давно есть в опенсорсе. Опять же, банальная виртуалка.

Спасибо за резюме. Я всё жду, когда в Windows можно будет легко запускать произвольные приложения, особенно игры, в изолированном окружении типа CGroups, чтобы без ущерба производительности. Похоже, пока не готово!

qubes + nix. Но вообще, прямого аналога нет. В лялексе вообще всё печально с изоляцией приложений.

Короче, microsoft переизобрел kvm с virtio-штуками для шинды. Опять же, альтернатива того, что уже давно есть в опенсорсе. Опять же, банальная виртуалка.

Нет. MS сделали из этого фичу. Набор разрозненных инструментов, раскиданных по разными частям системы – не альтернатива. В лялексе можно ткнуть правой кнопкой мышки (ну или ок, одну команду в консоли дёрнуть), чтобы запустить приложение вот в такой изолированной песочнице? То-то же!

одну команду в консоли дёрнуть

Можно.

Покажи же мне её!

firejail как один из самых простых вариантов (то есть не требующих настроек и командной строки на пол экрана).

Нет. MS сделали из этого фичу.

В линуксе этого не сделали только потому, что это нахрен не нужно. Если это нужно один раз за жизнь, то ты просто делаешь виртуалку и юзаешь снапшоты.

В лялексе можно ткнуть правой кнопкой мышки (ну или ок, одну команду в консоли дёрнуть), чтобы запустить приложение вот в такой изолированной песочнице?

Да: snap, appimage, flatpack, etc, etc, etc. Альтернативно - firejail, docker, bubblewrap, etc, etc, etc.

То-то же!

Действительно

firejail как один из самых простых вариантов (то есть не требующих настроек и командной строки на пол экрана).

firejail – это из другой оперы. Он не запускает виртуалку и не создаёт изолированного окружения, в котором можно плодить файлы и творить треш и холокост.

В линуксе этого не сделали только потому, что это нахрен не нужно.

Кому не нужно? В венде этим пользуются. Выходит, нужно?

Если это нужно один раз за жизнь, то ты просто делаешь виртуалку и юзаешь снапшоты.

А если это нужно два раза? Или три?

Да: snap, appimage, flatpack, etc, etc, etc. Альтернативно - firejail, docker, bubblewrap, etc, etc, etc.

appimage

docker

Дядя, ты кретин. Appimage не изолирует вообще ничего, это тупо архив с зависимостями. А docker для безопасности используют только полные долбозавры. И всё перечисленное никак не защищает, например, от дыры в ядре. Виртуалка тут хоть как-то может спасти.

Тащемта, Qubes + Nix для лёгкого клонирования системы могли бы спасти. Но ты про них не вспомнил.

firejail

не создает изолированного окружения

Нет, кретин - ты.

https://github.com/netblue30/firejail/issues/2721

А вот тут рекомендуют таки виртуалку, потому что firejail не покрывает все варианты.

В венде этим пользуются. Выходит, нужно?

Ну ничего, еще через 20 лет они таки переизобретут нормальные контейнеры и начнут ими пользоваться. И вантузятники будут радостно искать отсутствующие альтернативы в линаксе, ага.

А если это нужно два раза? Или три?

То вместо одного клика ты будешь делать два в условном виртуалбоксе, лол.

А docker для безопасности используют только полные долбозавры.

Все что стоит знать о твоем умственном развитии.

И всё перечисленное никак не защищает, например, от дыры в ядр

Если нужно это, то я уже весь тред распинаюсь о том, что все эти «новые» фичи виртуализации в линаксе уже давно есть и microsoft тут в догоняющем положении.

Дополнительно интересно, что если они пробрасывают directx-вызовы (как в WSL2), то это дополнительный вектор атаки на хостовое ядро, и значительный такой.

Тащемта, Qubes + Nix для лёгкого клонирования системы могли бы спасти.

Чтобы достись уровня qubes или nix, майкрософту еще 100 лет нужно будет копировать из них фичи.

Ну ничего, еще через 20 лет они таки переизобретут нормальные контейнеры и начнут ими пользоваться.

Нормальные – это какие? Потому что я не могу сказать, что они в лянуксе-то нормальные. Идеалом было бы, конечно, сделать что-то типа usermode kernel из dragonfly bsd. Причём в линуксе поддержка usermode kernel даже есть, только для контейнеров никто это не использует.

То вместо одного клика ты будешь делать два в условном виртуалбоксе, лол.

Да нет, не буду. Проще венду поставить.

Если нужно это, то я уже весь тред распинаюсь о том, что все эти «новые» фичи виртуализации в линаксе уже давно есть и microsoft тут в догоняющем положении.

Есть низкоуровневые инструменты и примитивы. Фич нету. Фичи надо ещё собрать.

Чтобы достись уровня qubes или nix, майкрософту еще 100 лет нужно будет копировать из них фичи.

Да нет, Qubes можно на венде и HyperV в принципе уже сейчас организовать. Насчёт Nix не скажу. С другой стороны, как пользователя NixOS меня от проблем Nix уже порядочно тошнит.

Контейнеры в Windows и так есть, они сделали песочницу, без перерасхода памяти итд.

Не знаю, что там за контейнеры в виндоус, но в линуксах контейнеры и есть «песочница, без перерасхода памяти итд».

И вот ты приходишь и спрашиваешь «есть ли в онтопике альтернативы windows sandbox»? Ты опоздал лет так на 10-15.

Чего ты хочешь от человека, сюда периодически приходят пассажиры, считающие, что браузеры под линукс выпускаются через несколько лет после Windows. (Хотя один такой браузер я знаю, да, покойная Opera Presto.)

Не совсем понятен sandbox в оффтопике. Точнее его функционал, когда при каждом новом запуске девственно-чистая система. Нет сохранения состояния. Т.е. полигон на один раз, разворачивать заново нужную конфигурацию, как подозреваю, еще «та» задача.