Исправление anonymous_sama, (текущая версия) :
Тут скорей чем ты готов пожертвовать в плане удобства, для своей безопасности. Ты не сильно выиграешь запуская браузер в контейнере (гугли GUI in lxd, например), если же ты будешь запускать это дело еще и в отдельном легком аналоге Xorg, то про ускорение и оформление можешь совсем забыть. Так что пожалуй если безопасность действительно в приоритете, то запускай браузер в настоящей виртуалке. Что как раз подразумевает:
VirtualBox/VMWare Workstation/KVM/etc.
И да ты можешь найти какие-то решения, но тебе все-равно их придется адаптировать их свои задачи, потому-что иначе ты просто будешь ложно считать себя в безопасности. И да MAC от уязвимости про которую ты говорил никак не защитит, только данные не даст скачать, которые ты запретил. А так да, получил сначала права пользователя, потом уже 0 day локально рута. С контейнеров и виртуалок тоже убегали, более того в виртуалке проще получить доступ к железу. А контейнеры вообще некотороые под рутом запускаются. Все печально.
сложно правильно настроить выделение памяти, не понятно как пробросить микрофон, не ясно как будет работать ускорение вывода графики
С виртуалкой как раз все просто, микрофон у тебя виртуальный, хотя говоришь, ты в свои привычный, память ограничивается выделяется банально, а ускорение поддерживается многими виртуальными драйверами , либо ты просто прокидываешь еще одну видеокарту. С вм как раз меньше всего проблем.
В случае с контейнерами ты можешь подмонтировать директорию, в контейнер без особых проблем, в вм тоже это не сильно трудно, только там уже скорей всего будет по сети.
Исходная версия anonymous_sama, :
Тут скорей чем ты готов пожертвовать в плане удобства, для своей безопасности. Ты не сильно выиграешь запуская браузер в контейнере (гугли GUI in lxd, например), если же ты будешь запускать это дело еще и в отдельном легком аналоге Xorg, то про ускорение и оформление можешь совсем забыть. Так что пожалуй если безопасность действительно в приоритете, то запускай браузер в настоящей виртуалке. Что как раз подразумевает:
VirtualBox/VMWare Workstation/KVM/etc.
И да ты можешь найти какие-то решения, но тебе все-равно их придется адаптировать их свои задачи, потому-что иначе ты просто будешь ложно считать себя в безопасности. И да MAC от уязвимости про которую ты говорил никак не защитит, только данные не даст скачать, которые ты запретил. А так да, получил сначала права пользователя, потом уже 0 day локально рута. С контейнеров и виртуалок тоже убегали, более того в виртуалке проще получить доступ к железу. А контейнеры вообще некотороые под рутом запускаются. Все печально.
сложно правильно настроить выделение памяти, не понятно как пробросить микрофон, не ясно как будет работать ускорение вывода графики
С виртуалкой как раз все просто, микрофон у тебя виртуальный, хотя говоришь, ты в свои привычный, память ограничивается выделяется банально, а ускорение поддерживается многие виртуальными драйверами , либо ты просто прокидываешь еще одну видеокарту. С вм как раз меньше всего проблем.
В случае с контейнерами ты можешь подмонтировать директорию, в контейнер без особых проблем, в вм тоже это не сильно трудно, только там уже скорей всего будет по сети.