LINUX.ORG.RU

Тюрьма для приложений (виртуализация)

 , ,


2

2

Сап линуксоиды. Что посоветуете использовать (контейнер/гипервизор или другие виды виртуализации) kvm,qemu,lxc,docker,mbox и т.д. Цель такая: например установить лису в этот самый Конт/гипер и чтобы он там жил в своем маня мирке создавая и удаляя свои папки не знаю что есть основная система. А когда надоест просто удалить этот контейнер со всеми потрахами. Гуглил много. С контейнерами дела такие что надо установить прогу на основную систему и уже оттуда запускать, а с гипером нужно поверх основной другую систему инсталить. Что посоветуете.

Зависит от степени паранойи. Вот список от не очень изолированного до довольно изолированного : snap -> docker -> lxc -> kvm -> отдельный комп.
Так же можешь пошаманить с apparmor/selinux/tomoyo и прочими.

bdfy ★★★★ ()

Разобраться в предметной области и поставить задачу со всеми требованиями. Пока под твой поток слов подходит все от чрута до виртуалбокса с десяток ой, а под твой вопрос так и вовсе хоть пешая эротическая экскурсия.

t184256 ★★★★★ ()

Советую виртуалку, ибо потеря производительности минимальна, 3% или сколько там. Создаешь значит эту виртуалку, пока она чистая - бекапишь ее, дальше извращайся как хочешь, гадить в системе оно не будет. В конце опытов просто удаляй файл «жесткого диска» и копируй бекап обратно.

SHODAN ()

Что посоветуете.

QubesOS, если изоляция нужна для безопасности. Flatpak, если просто нужно поставить софтину по-быстрому. LXC для всего остального.

whiteout ()

Только отдельный комп не подключённый к общей сети, без вариантов.

Я так понимаю, тебе нужна sandboxie, но она проприетарная. Если ещё как минимум несколько программ схожей направленности, о которых никто не знает. Тоже проприетарные.

Вывод? Отдельные устройства, обмен информацией через 3 защищённое устройство, включающие порты на период обмена.

Кстати в qemu можно завести 1 базовый образ, и произвольное количество снапшотов на каждое приложение. Обновлять немного больно, придётся переносить приложение со всеми конфигурациями, сносить снапшот, и обновлять образ, потом создавать новый снапшот с бэкингом на образ и возвращать приложение и конфигурацию. Можно автоматизировать в принципе, но уровень изоляции в принципе не плохой. Приправит gentoo-hardened и порезать очевидно лишние и вредные вызовы, такого уровня изоляции больше никак не достичь программно. Все остальные варианты не про изоляцию от злонамеренного кода. Делать ты этого конечно же не будешь. Найм того, кто сделает, не так и дорого будет.

anonymous ()
Ответ на: комментарий от anonymous

Учитывая количество дыр в xen и мельтдауны

Ну тогда можно и такие темы не создавать. Совсем. Просто выкинуть компьютер, отрастить бороду и уйти в монастырь.

whiteout ()
Ответ на: комментарий от t184256

Что не понятно? Нужен контейнеро подобная штука чтобы в него инсталить софт чтобы он жил в своем мире, а при хотении просто удалить контейнер со всеми файлами

osmanman ()

Можно создать отдельного пользователя и запускать прогу от имени этого пользователя. Изоляция не полная, но создавать файлы будет в каталоге нового пользователя, а для удаления просто удаляем пользователя вместе с домашним каталогом. Также есть такая штука как firejail, но сам её никогда не пробовал.

Taetricus ()

Для тюрем для отдельных приложений есть отличный софт - firejail.

Использую для старого скайпа и прочего недоверенного софта.

Dimez ★★★★★ ()