Исправление gasinvein, (текущая версия) :
Не вижу проблем так сделать.
Корневая ФС внутри песочницы флатпака - на невидимой снаружи tmpfs. Чтобы сделать её видимой - её надо примонтировать на хосте, т.е. опять же нужны повышенные привилегии.
А как тогда песочница конструируется изначально?
Там, где можно (везде, кроме Дебиана, насколько я знаю) используется unprivileged_userns_clone, чтобы получить повышенные привилегии внутри песочницы, при этом не повышая привилегии на хосте.
Исходная версия gasinvein, :
Не вижу проблем так сделать.
Корневая ФС внутри песочницы флатпака - на невидимой снаружи tmpfs. Чтобы сделать её видимой - её надо примонтировать на хосте, т.е. опять же нужны повышенные привилегии.
А как тогда песочница конструируется изначально?
Она не кастрируется в том смысле, что сбрасывает повышенные привилегии, она их просто не повышает. Там, где можно (т.е. везде, кроме Дебиана, насколько я знаю) используется unprivileged_userns_clone.