https://www.opennet.ru/openforum/vsluhforumID3/138875.html Опубликован релиз проекта Firejail 0.9.78, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64553<br> https://www.opennet.ru/openforum/vsluhforumID3/138875.html#64 Mon, 12 Jan 2026 15:38:42 GMT Искренне честно, уже ухожу с Firejail. Bubblewrap показал себя для меня на несколько степеней гибче. Покрыло мои хотелки даже те, которые не видел ранее нужными.<br><br>Как программа для ознакомства с основами изоляции, была хороша. Автору, контрибуторам и коммитящим спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID3/138875.html#63 Sat, 10 Jan 2026 14:12:48 GMT тебе написали, что ты какую-то муть непонятную написал, а ответил я только на то, что можно было вычленить из твоих повествований, выражайся точнее может и диалог будет<br><br>формулировки уровня - эй чувак )) это для дегенератов ))<br> https://www.opennet.ru/openforum/vsluhforumID3/138875.html#62 Wed, 07 Jan 2026 19:00:42 GMT &gt; Игнорирую бездоказательные утверждения<br><br>Объективная реальность такова, что тебе тупо нечем возразить. А теперь марш читать namespaces(7). Видишь ли, дитятко, линукс немножечко шагнул вперед со времен юниха.<br> https://www.opennet.ru/openforum/vsluhforumID3/138875.html#61 Tue, 06 Jan 2026 13:56:32 GMT связка firejail + appimage в теории гораздо круче флетпака.<br>во-первых, firejail позволяет гибко настроить доступ к ресурсам.<br>во-вторых, всегда можно сохранить копию старой версии проги.<br>в-третьих, теоретически appimage имеет в составе все зависимости.<br><br>однако, на практике, когда я пытался запустить многие аппимаги со стандартными для флетпака фичами вроде --net=none --ipc-namespace --caps.drop=all --private=directory, то половина прог вообще не запускалась.<br><br>я пробовал использовать встроенные профили. например аппимагу double commander с преднастроенным профилем file-manager-common.profile<br>однако оно нихрена не запускалось или работало с большими проблемами с доступом к файлам.<br><br>многие другие аппимаги известных прог тоже не работали с преднастроенными профилями, из чего можно сделать вывод, что профиля фаерджейл написаны криво.<br><br>пробовал для прикола собрать минимальную генту на sway без гтк и без qt, чтоб все либы были чисто в аппимагах. но, увы, не запустилось ничего, потому что большинство аппим https://www.opennet.ru/openforum/vsluhforumID3/138875.html#60 Tue, 06 Jan 2026 08:34:37 GMT &gt; кто слился? куда слился?<br><br>Перечитай комменты, чувак. Я предложил два кейса, где DAC нихрена ничего не разграничивает. Ты на них ответил? Нет. Вместо этого ты внезапно пошел обсуждать погоду на Марсе^W^W^W производство зонтов^W^W влияние Сатурна на животноводство^W^W^W^W буфер обмена.<br><br>&gt; namespaces я могу и в systemd изолировать<br><br>Молодец. Значит ли это, что systemd следует использовать для деплоя серверных и десктопных приложений? Нет, абсолютно не значит.<br><br>Человеческая природа такова, что самый конец текста запоминается лучше всего, поэтому вот тебе напоминание в самом конце: ты нихрена не ответил на мои два примера того, как DAC нихрена ничего не разграничивает, когда шаренный ресурс -- не файл, а сокет.<br> https://www.opennet.ru/openforum/vsluhforumID3/138875.html#59 Mon, 05 Jan 2026 22:06:49 GMT &gt; ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем <br>&gt; временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак), <br>&gt; и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой <br>&gt; /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа <br>&gt; просто запустят за секунду podman run и получат дефолт, в котором <br>&gt; приложение не видит вообще ничего, кроме uname ядра.<br><br>что за мусор я сейчас прочитал? кто слился? куда слился? что ты пытаешься не сказать?<br><br>---<br><br>по поводу контейнеров<br><br>namespaces я могу и в systemd изолировать, и юзеров тоже там же прописать, контейнеры это последcтвия пропихивания микросервисов везде где не нужно, этот зоопарк надо деплоить и появился ответ в виде compose и кубер, а так он нах "не нужон"<br><br>flatpak юзаю, но только для случаев когда нет родных пакетов<br> https://www.opennet.ru/openforum/vsluhforumID3/138875.html#58 Mon, 05 Jan 2026 18:52:16 GMT Игнорирую бездоказательные утверждения )<br><br>ну если "ребутнуться" - это запустить в live, <br>то все изложенное дальше ШЛАК ))<br> https://www.opennet.ru/openforum/vsluhforumID3/138875.html#57 Mon, 05 Jan 2026 01:22:54 GMT Покажи мне хотя бы одну подсистему, в которой не было уязвимостей. А так конечно да: сидеть в пещере без компа безопаснее всего. В компах бывают уязвимости -- шок!<br> https://www.opennet.ru/openforum/vsluhforumID3/138875.html#56 Sun, 04 Jan 2026 20:43:16 GMT а namespace-господа случайно эскалацию привелегий через вулн в изоляторе, или тем более uns не хотят ?<br>реальные господа причесывают ~~MAX~~ MAC.<br>их, правда, трудно так назвать ..<br>