LINUX.ORG.RU

Ответ на: комментарий от Deleted

Браузеры, приложение Telegram, VK Messenger, Evolution. Установка по-умолчанию изначально применяет ко всему этому firejail, единственное, что я настраивал – включил dbus и gjs для FF чтобы ставить расширения для Gnome 3.

the_real_kinik ()

sandbox, gradm.

Специально изоляцию для десктоп приложений не использую, общую да.

Песочница, для сборки программ.

Большую часть изоляции процессов выполняет само ядро Линукс:

CONFIG_GRKERNSEC_PROC=y
CONFIG_GRKERNSEC_PROC_USER=y
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_LINK=y
CONFIG_GRKERNSEC_FIFO=y
CONFIG_GRKERNSEC_SYSFS_RESTRICT=y
CONFIG_GRKERNSEC_DEVICE_SIDECHANNEL=y
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_*=y
https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Config...

CONFIG_GRKERNSEC_CHROOT* можно использовать для изоляции серверов.

anonymous ()
Ответ на: комментарий от TheAnonymous

Они продолжают разработку, есть уже порт на АРМ. Согласно GPL они должны предоставить исходный код ибо это доработка ядра Линукс которое распространяется под GPL-2. Там есть адрес почты для жалоб по поводу нарушения лицензии... напиши, пожалуйся, тебе дадут свежее 2017года.

anonymous ()
Ответ на: комментарий от anonymous

Согласно GPL они должны предоставить исходный код

Только тем, кто у них купил. (а те, в свою очередь, должны иметь право распространять эти исходники)
Но с 2017 года никаких исходников в открытом доступе не было, никто в открытый доступ не выкладывал, так что чем они там занимаются на самом деле, неизвестно.

TheAnonymous ★★★★★ ()

Десяток разных отдельных аппаратных матплат в т.ч. ARM, X86 Pentium1

Под разными осями типа OpenBSD, HardenedBSD, GrSecurity и последние ядра линупс типа v5.3.x с KSPP.

А все эти ваши Кубес и другие разновидности виртуалок и контейнеров - это все от лукавого, до следующей новости о об очередной дыре в процессоре или где-то еще.

anonymous ()
Ответ на: комментарий от anonymous

Особенно в разделе security, учитывая нынешнюю ситуацию с дырявостью железа и возможностью перехода в root God mode из под любого restricted user.

Например, из браузера Chrome или чата Skype.

anonymous ()
Ответ на: комментарий от anonymous

Сделай свое железо

И кому тут надо обращаться к психиатору? Ты считал затраты, чтобы сделать свое железо? И что толку от самого проприетарного FPGA?

Ещё раз, изоляция процессов дело ядра ОС, а не прикладного софта.

А чье это дело, когда с ним не справляется ни ядро ни прикладной софт? Закладки они такие.

anonymous ()

Никаких, ибо для десктопов ненужно. Изоляция системы от внутренней фигни - дело самого приложения, а если оно захочет, оно нагадит и никакие firejailы тебя не спасут. Так что разложите яйца по разным девайсам и запускайте доверенные приложения.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Наткнулся на одно сообщение:

SheevaPlug — компьютер в электрической вилке (комментарий)

И подумал, а ведь как он был прав еще 10 лет назад,

на днях бродил по строительному супермаркету и как раз обратил внимание на навороченные ручки сидений унитазов, больше похожих на программируемый дистанционный пульт управления.

И ведь навряд ли одноплатник из него подойдет для чего-то доброго, потому что закладки опять же.

А 10 лет назад таких унитазов еще не делали, вот и как быть теперь.

anonymous ()