LINUX.ORG.RU
ФорумTalks

наподобии android.

 , ,


0

3

Привет. Немного почитал про то как устроен андроид, в точности, про особенности установки приложений(недочитал) и разделение прав пользователей, меня постигла идея о реализации нечто наподобии на своем десктопе. Используя, только лишь групповую политику, umask, chmod, chown и еще несколько комманд, установить, например телеграм в свой хомяк со своим пользователем telegram, дабы ограничить его в правах доступа к некоторым другим файлам, оставив ему в доступе, только файлы его хомяка , да папку downloads, например. Также с хромиумом, но ему нужно больше прав, и я пока над этим думаю. Хотел спросить, а кто нибудь таким занимается, и в каких дистрибутивах это реализовано. Вообще тупняк конечно, но …

Создаёшь юзера, запускаешь только от него. Ну и проверь что на /home/xxx везде 700 стоит а не 755.

firkax ★★★★★
()

Через bubblewrap можно разрешить доступ только нужным файлам/каталогам без заморочек с правами и пользователями.

Kron4ek ★★★★★
()

Если будешь просто запускать от отдельных пользователей в одних иксах, всё равно получится решето, все приложения имеют доступ к клавиатуре, экрану, ко всем чужим окнам, буферу обмена. Песочницы сами по себе кстати тоже не помогут, надо как минимум ещё запускать каждое приложение в отдельном инстансе иксов.

Если угораешь по изоляции, посмотри Qubes OS, специальный дистрибутив для параноиков, там разделение делается засчёт виртуальных машин.

TheAnonymous ★★★★★
()

apparmor и selinux как раз для этого сделали

mrdeath ★★★★★
()
Ответ на: комментарий от firkax

это самый оптимальный минимум. без использования flatpak, вообще не используя грубо говоря ничего.

nionio35
() автор топика
Ответ на: комментарий от TheAnonymous

Хотел еще добавить тег «параноя», да, забыл чет. А ведь без буфера обмена будет очень сложно. В той же телеге скопировал ссылку, ввел в браузер. Ну пускай хоть так. Я просто проверить, что вот минимально, оно вприниципе без проблем(хоть и решето все еще) работоспособно.

nionio35
() автор топика
Ответ на: комментарий от nionio35

В Qubes есть отдельный буфер, куда можно копировать и вставлять, но доступ к которому осуществляется явным действием пользователя.

А вообще буфер обмена не самая большая проблема, учитывая что любое приложение на Х-сервере имеет полный доступ к экрану и устройствам ввода.

TheAnonymous ★★★★★
()

Ты хочешь флатпак и порталы

alex1101
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)