Podroid — запуск Linux-контейнеров на Android без root-прав

ни из новости, ни из подробностей не понятно, зачем эти приседания нужны

Чем оно лучше proot в обычном термуксе?

proot не обеспечивает такой изоляции, как виртуальная машина, либо контейнер

Только на андроиде-то оно зачем? Ещё и учитывая тормоза из-за эмуляции.

Мне больше понравился проект где пожертвовали не нативностьью, а полноценностью/изолированностью https://github.com/RuriOSS/rurima/blob/main/doc/USAGE.md

Если смотреть на контейнеры не как на средство изоляции, а как на средство поставки софта который не собран под андроид - это более перспективно

А KVM там есть, или оно в полной эмуляции работает?

кто на ком стоял?

Какой эмуляции? Arm-образы давно существуют

Вряд ли там KVM. Его только в самых последних андроидах добавили, это пока ещё экспериментальная технология. Скорей всего userspace эмуляция.

https://github.com/ExTV/Podroid/blob/main/Dockerfile.qemu 10-я строчка

Так то фичи qemu.
Поддержка KVM ещё и в ядре должна быть включена.

Вот так, с помощью нехитрых приспособлений, смартфон (или телевизор) можно превратить в хост для линукс-контейнеров.

Я ничего не понял. На твоём Android 9 из коробки есть /dev/kvm доступный юзеру? Можешь показать ls -la /dev/kvm ?

Приложение для своей работы требует Android 9+ arm64.

печаль

чтобы использовать старый ненужный звонильник как сервер чего-либо

А в ядре никто kvm не включает кроме гугла на своих пикселях, внезапно.

Ну так и условный linux deploy делает всё тоже самое, только быстрее

На моём - нету

Его и не дают включать производители SoCов своим TrustZone. Кажется на некоторых самсунгах был эксплоит позволяющий использовать аппаратную виртуализацию, но не более того.

Вот это дело)! Действительно нужная вещь, ещё и с андроида 9:)) Да и не просто что-то там, а alpine linux)!

ему рут нужен был
но с этой поделкой вроде ещё сложнее, если kvm требуется

В ридми упомянут TCG, который суть полная эмуляция процессора в софте.

Ну тогда kvm не заработает, о чём я и говорю. Насколько я знаю, Google в самых последних пикселях начала давать к нему доступ, причём там из коробки есть возможность виртуалку с линуксом организовать. А до этого таких возможностей не было, ну если не собирать свой ROM.

совсем печаль

Насколько я понимаю, доступного юзеру /dev/kvm на андроиде не бывает.

Чтобы сделать андроид похожим на операционку.

А ведь когда то на штатном самсунг галакси можно было рутануться в 2 клика, переразметить карту памяти, написать fstab и поднять на смартфоне какой нибудь гит-сервер.

А что мешает реализовать git сервер как нативный сервис андроида?

Да и что вообще такое «git сервер», что еще за чудо

То что андроид возьмёт и прибьёт его в произвольный момент. А ещё у него и у тебя не будет доступа к ФС. Ну и сервер уже давно написан, его только запустить надо а не переписывать на диалект джавы с меняющимся 2 раза в год апи.

То что андроид возьмёт и прибьёт его в произвольный момент

А ты точно разбираешься в программировпнии под андроид? Нет, не прибьет конечно. Что за ерунда. Вот например ты слушаешь музыку плеером, почему андроид не прибывает плеер?

А ещё у него и у тебя не будет доступа к ФС

У плееров под андроид нету доступа к музыке на телефоне. Чудеса!

Ну и сервер уже давно написан, его только запустить надо

Так что это за сервер то? Вот например у меня линукс хостинг на дебиане, который я хочу использовать как git origin. Что конкретно, по-твоему, на нем надо запустить?

с меняющимся 2 раза в год апи.

Ты просто не программист, да? Что ты пишешь

андроид возьмёт и прибьёт его в произвольный момент

ssh в термуксе с wake lock’ом прекрасно работает в фоне, можешь сколько влезет там git вертеть.

У плееров под андроид нету доступа к музыке на телефоне. Чудеса!

А ты точно разбираешься в программировании под андроид? Плеер имеет доступ не к файловой системе, а к музыке. Если бы разбирался в программировании под андроид, понимал бы разницу. Плеер музыки не может открыть произвольный файл на файловой системе, он может открыть только музыку.

дык с того момента как на андроиде можно будет запустить докер - начнётся новая эра VPN в частности и ботнетов вообще :)

Только на андроиде-то оно зачем? Ещё и учитывая тормоза из-за эмуляции.

docker run xray

И посадить мобилу в ноль за пару часов, ага. Да и не будет ли оно там задыхаться?

Хотя я так и не понял, зачем сервер xray гонять. Чтобы с этого же девайса к нему подключиться иии… что?

Ну а теперь объясни, зачем «гит серверу» понадобится открывать любой произвольный файл на телефоне? Что вы мне тут голову дурите. Он точно также, будет иметь доступ к тому, что ему надо, как и любое приложение ведроида. А прежде всего, как termux, который, прикинь, магическим образом имеет доступ к своему контейнеру с линуксом, и даже запускает оттуда бинари! Фантастика, правда

Теперь у тебя спрошу. Зачем это нужно через докер, и почему это не может делать нативное приложение андроида?

Забавно, что люди сначала говорят об ограниченности андроида, а потом они же восхищаются вундервафлей, которая вносит ещё больше ограничений, ещё и с тормозами.

Теперь у тебя спрошу. Зачем это нужно через докер, и почему это не может делать нативное приложение андроида?

затем, что вот наш «Большой брат» взял курс на то, что будет в андроеды подсаживать spyware (смотри статьи хабр последние 2-3 недели), что будет сливать данные о VPN.

и решений против этого очень немного:

• https://habr.com/ru/articles/1022586/ - дорого и в перспективе ненадёжно
• https://habr.com/ru/articles/1023352/ - ненадёжно уже сегодня
• https://habr.com/ru/articles/1022390/ - ещё менее надёжно

и единственный выход сегодня (если не устраивает первое решение) - носить с собой два смартфона:

• для большого брата
• для себя

А были бы контейнеры - было бы и решение чтобы телефон был один.

Хотя я так и не понял, зачем сервер xray гонять. Чтобы с этого же девайса к нему подключиться иии… что?

современный мир микросервисный

ставите вы ИИ-агента, он становится локальным сервисом, к которому вы подключаетесь

включаете подсветку синтаксиса в vim — ещё один локальный сервис

и так далее

что плохого в микросервисном решении с vpn?

Он точно также, будет иметь доступ к тому, что ему надо, как и любое приложение ведроида

В Android нет такого понятия «то, что надо гит серверу». Понятие мультимедия файла есть, а «то, что надо гит серверу» - нет. Это не просто расширения и ассоциации, это сложнее.

Это все легко решается. В андроиде, у каждого приложения есть своя папка для данных, как минимум. Вот туда это все и может быть помещено.

Погоди! А что мешает тогда вам встроить «vpn» прямо в нативный для андроида браузер, чтобы он мог подключаться только сам, не давая ничего остальной системе? Ну и сидите с него. Зачем такие сложности, как запуск линукса в полной эмуляции?

Речь не о том была, просто в этом месте я подумал, что

docker run xray

запускает сервер xray, а не клиент к нему.

Погоди! А что мешает тогда вам встроить «vpn» прямо в нативный для андроида браузер, чтобы он мог подключаться только сам, не давая ничего остальной системе? Ну и сидите с него.

кроме того, браузера одного мало, хочется:

• чтоб приложение ютубчика работало
• ютубчик-музычки
• приложение chatgpt
• приложение такое
• приложение сякое

и здесь вылезает требование: «нужен vpn в виде сервиса на андроиде».

ок, поставили сервис.

далее Роскомпозор стал обязывать внедрять программы-шпионы во всякие «Яндекс-погоды», «Яндекс-музыки» итп.

Стал вопрос:

• или нужно уметь изолировать Яндекс-погоду от сервиса vpn - андроед такого не позволяет
• или нужно научиться жить с тем, что Яндекс-погода «стучит» в Роскомнадзор, сливая данные о твоём VPN (об этом первая статья из ссылки)

были бы контейнеры (или иной способ НАДЁЖНО изолировать приложение Android от приложения Android), то все эти приседания были бы проще.

запускает сервер xray, а не клиент к нему.

да. сегодня сервер xray который запускает среднее приложение «VPN для андроида» формирует системный tun или системный же socks-прокси.

И программа-шпион его сливает.

если бы сервер xray работал бы в контейнере, то общаться с ним можно было бы через интерфейс неизвестный/недоступный для приложений, которых сюда не пустили. Например, через socketpair создаваемый в момент их (приложений) запуска. Как-то так

Погоди номер 2. А как сабж решит задачу «изолировать приложение андроида от приложения андроида», если он запускает линукс?

то общаться с ним можно было бы через интерфейс неизвестный/недоступный для приложений, которых сюда не пустили.

Как приложение ютубчика его найдет?

Так и не удалось из всего прочтенного понять, нафига этот сабж придумали. Похоже, в мире развелось огромное число никому не нужных программистов, которые, как тот кот, лижут себе я…а от нечего делать.

У вас тут путаница, где сервер, а где клиент.

Если я буду подключаться к локально запущенному серверу, то никакого доступа к условному ютубчику я не получу, весь трафик выходит из этой же точки.

Сервер должен быть запущен где-то там, а на мобиле запущен клиент, через который ходят нужные приложения.

здесь несколько подзадач:

• создать VPN вне централизованного андроид понятия VPN (контейнеры бы здесь помогли)
• пустить в него приложения из списка
• не пускать в него приложения вне списка