На Fedora – firejail. На NixOS он так и не завёлся на критически важных приложениях.

На Fedora – firejail

Для каких программ?

Браузеры, приложение Telegram, VK Messenger, Evolution. Установка по-умолчанию изначально применяет ко всему этому firejail, единственное, что я настраивал – включил dbus и gjs для FF чтобы ставить расширения для Gnome 3.

sandbox, gradm.

Специально изоляцию для десктоп приложений не использую, общую да.

Песочница, для сборки программ.

Большую часть изоляции процессов выполняет само ядро Линукс:

CONFIG_GRKERNSEC_PROC=y
CONFIG_GRKERNSEC_PROC_USER=y
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_LINK=y
CONFIG_GRKERNSEC_FIFO=y
CONFIG_GRKERNSEC_SYSFS_RESTRICT=y
CONFIG_GRKERNSEC_DEVICE_SIDECHANNEL=y
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_*=y

CONFIG_GRKERNSEC_CHROOT* можно использовать для изоляции серверов.

Ау, grsecurity всё, ещё в 2017 году!

Они продолжают разработку, есть уже порт на АРМ. Согласно GPL они должны предоставить исходный код ибо это доработка ядра Линукс которое распространяется под GPL-2. Там есть адрес почты для жалоб по поводу нарушения лицензии... напиши, пожалуйся, тебе дадут свежее 2017года.

лицензии

а не накакатьт на лицензии или поставь игнор)

Согласно GPL они должны предоставить исходный код

Только тем, кто у них купил. (а те, в свою очередь, должны иметь право распространять эти исходники)
Но с 2017 года никаких исходников в открытом доступе не было, никто в открытый доступ не выкладывал, так что чем они там занимаются на самом деле, неизвестно.

Использую firejail, всем доволен.

Bubblewrap через Flatpak.

firejail, т.к. у него есть профили практически для всех массово используемых программ.

Если этого мало, то qubeos или whonix в помощь

Десяток разных отдельных аппаратных матплат в т.ч. ARM, X86 Pentium1

Под разными осями типа OpenBSD, HardenedBSD, GrSecurity и последние ядра линупс типа v5.3.x с KSPP.

А все эти ваши Кубес и другие разновидности виртуалок и контейнеров - это все от лукавого, до следующей новости о об очередной дыре в процессоре или где-то еще.

Изоляция процессов дело не костылей виртуализации, а ядра ОС.

Особенно в разделе security, учитывая нынешнюю ситуацию с дырявостью железа и возможностью перехода в root God mode из под любого restricted user.

Например, из браузера Chrome или чата Skype.

Сделай свое железо: Что мешает разрабатывать «свободное железо» на FPGA-хах как свободный софт? (комментарий)

Ещё раз, изоляция процессов дело ядра ОС, а не прикладного софта.

Сделай свое железо

И кому тут надо обращаться к психиатору? Ты считал затраты, чтобы сделать свое железо? И что толку от самого проприетарного FPGA?

Ещё раз, изоляция процессов дело ядра ОС, а не прикладного софта.

А чье это дело, когда с ним не справляется ни ядро ни прикладной софт? Закладки они такие.

firejail для всех проприетарных программ, кроме драйверов.

Через ту дырень и firejail с касперским не помогут.

так даже и без нее все хорошо:

Девять серьёзных уязвимостей в Firejail

08.01.17

Актуально. Тем более, те дыры нельзя было эксплуатировать изнутри песочницы.

Cgroups, иначе линупс виснет, встретившись с такой непосильной задачей как обычный браузер.

Никаких, это всё фикция. Для хитрожопого софта LD_PRELOAD и то раньше, сейчас лень уже пердолиться.

Никаких, ибо для десктопов ненужно. Изоляция системы от внутренней фигни - дело самого приложения, а если оно захочет, оно нагадит и никакие firejailы тебя не спасут. Так что разложите яйца по разным девайсам и запускайте доверенные приложения.

Наткнулся на одно сообщение:

SheevaPlug — компьютер в электрической вилке (комментарий)

И подумал, а ведь как он был прав еще 10 лет назад,

на днях бродил по строительному супермаркету и как раз обратил внимание на навороченные ручки сидений унитазов, больше похожих на программируемый дистанционный пульт управления.

И ведь навряд ли одноплатник из него подойдет для чего-то доброго, потому что закладки опять же.

А 10 лет назад таких унитазов еще не делали, вот и как быть теперь.

https://www.anekdot.ru/i/caricatures/normal/19/9/29/proekt.jpg