forum.opennet.ru - "Выпуск Bubblewrap 0.6, прослойки для создания изолированных окружений" (12)

"Выпуск Bubblewrap 0.6, прослойки для создания изолированных окружений"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск Bubblewrap 0.6, прослойки для создания изолированных окружений"	+/–
Сообщение от opennews (??), 26-Фев-22, 14:25
Доступен выпуск инструментария для организации работы изолированных окружений Bubblewrap 0.6, как правило используемый для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56764
Ответить \| Правка \| Cообщить модератору

Оглавление

Действительно, неймспейсы помноженные на суид это надёжно, тот же сабж неоднокра, Аноним (1), 14:25 , 26-Фев-22, (1)

Я пользуюсь - игры в стим не работают и это печалит Приходится через flatpak пу, Anonnnym (?), 14:50 , 26-Фев-22, (2)

Дистрибутивоцентричный Линукс глубоко ущербная парадигма , Аноним (4), 16:13 , 26-Фев-22, (4)
Не проще для проприетарных игрушек отдельного юзверя завести с отдельными иксами, Аноним (5), 16:33 , 26-Фев-22, (5) +1

Там либо user namespaces, либо лимитированный suid Опеннет-эксперт неоднократно, Аноним (11), 19:39 , 28-Фев-22, (11)

С этими флатпаками никогда не поймешь в какие хостовые папки у него есть доступ,, Аноним (4), 16:10 , 26-Фев-22, (3) –1

Он ещё довольно ущербно в других контейнерах работает, что неприятно для сборок , keydon (ok), 06:27 , 27-Фев-22, (7)
Сделайте ему клавишу Zaipis , Аноним (9), 11:01 , 27-Фев-22, (9)

На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для из, Kuromi (ok), 00:04 , 27-Фев-22, (6) +1

Сам вебкит это делает , mikhailnov (ok), 03:13 , 28-Фев-22, (10)

А в чем тогда разница между пакетами bubblewrap и bubblewrap-suid в Arch Зачем , Аноним (8), 09:33 , 27-Фев-22, (8)

bublewrap-suid для hardened ядра, там user namespaces отключены bubblewrap для , Аноним (11), 20:25 , 28-Фев-22, (12)

Сообщения [Сортировка по времени | RSS]

1. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +/–

Сообщение от Аноним (1), 26-Фев-22, 14:25

Действительно, неймспейсы помноженные на суид это надёжно, тот же сабж неоднократно это подтверждал. Кто-нибудь вообще пользуется? Давайте пользуйтесь, надо находить уязвимости.

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +/–

Сообщение от Anonnnym (?), 26-Фев-22, 14:50

Я пользуюсь - игры в стим не работают и это печалит. Приходится через flatpak пускать, а он свою копию системных либ тащит

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +/–

Сообщение от Аноним (4), 26-Фев-22, 16:13

Дистрибутивоцентричный Линукс глубоко ущербная парадигма.

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +1 +/–

Сообщение от Аноним (5), 26-Фев-22, 16:33

Не проще для проприетарных игрушек отдельного юзверя завести с отдельными иксами?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +/–

Сообщение от Аноним (11), 28-Фев-22, 19:39

> неймспейсы помноженные на суид это надёжно
Там либо user namespaces, либо лимитированный suid. Опеннет-эксперт неоднократно помноженный на ноль - вот, что действительно ненадежно.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." –1 +/–

Сообщение от Аноним (4), 26-Фев-22, 16:10

С этими флатпаками никогда не поймешь в какие хостовые папки у него есть доступ, а в какие нет. В каждом приложении по разному /tmp может быть у кого-то хостовым у кого-то своим. И так про все папки. Причем если и попытаешься что-то сам настроить со следующим апдейтом все слетит. Короче не нужен этот ваш флатпак думайте по новой. Сделайте лучше как в венде где всё просто работает.

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +/–

Сообщение от keydon (ok), 27-Фев-22, 06:27

Он ещё довольно ущербно в других контейнерах работает, что неприятно для сборок использующих флэтпак(тот же хром как пример, причём там скрипт для сборки написан криво - ставит флэтпак даже если он и не нужен)
И уже натыкался на людей которые ставят пакет через флэтпак и забывают про него, а потом удивляются почему это конфиг не применяется с хвостовой машины. Да, они ССЗБ что не знают инструментов которые используют, но проблему лишней сущности это не отменяет.
Ну и в целом концепция флэтпака ущербная, позволяет разработчикам разжижать мозги и делать тяп-ляп вместо "подумать и переделать"
Так что пользы от него пока никакой, а вреда уже слишком много

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +/–

Сообщение от Аноним (9), 27-Фев-22, 11:01

Сделайте ему клавишу "Zaipis!"

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

6. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +1 +/–

Сообщение от Kuromi (ok), 27-Фев-22, 00:04

"На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений."
Не только, Gnome Web тоже использует его чтобы вэбкит изолировать.

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +/–

Сообщение от mikhailnov (ok), 28-Фев-22, 03:13

Сам вебкит это делает

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +/–

Сообщение от Аноним (8), 27-Фев-22, 09:33

> Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера.
А в чем тогда разница между пакетами bubblewrap и bubblewrap-suid в Arch? Зачем два варианта?

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..." +/–

Сообщение от Аноним (11), 28-Фев-22, 20:25

bublewrap-suid для hardened ядра, там user namespaces отключены. bubblewrap для всех остальных.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+/–
Сообщение от Аноним (1), 26-Фев-22, 14:25
Действительно, неймспейсы помноженные на суид это надёжно, тот же сабж неоднократно это подтверждал. Кто-нибудь вообще пользуется? Давайте пользуйтесь, надо находить уязвимости.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+/–
	Сообщение от Anonnnym (?), 26-Фев-22, 14:50
	Я пользуюсь - игры в стим не работают и это печалит. Приходится через flatpak пускать, а он свою копию системных либ тащит
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+/–
	Сообщение от Аноним (4), 26-Фев-22, 16:13
	Дистрибутивоцентричный Линукс глубоко ущербная парадигма.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+1 +/–
	Сообщение от Аноним (5), 26-Фев-22, 16:33
	Не проще для проприетарных игрушек отдельного юзверя завести с отдельными иксами?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	11. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+/–
	Сообщение от Аноним (11), 28-Фев-22, 19:39
	> неймспейсы помноженные на суид это надёжно Там либо user namespaces, либо лимитированный suid. Опеннет-эксперт неоднократно помноженный на ноль - вот, что действительно ненадежно.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	–1 +/–
Сообщение от Аноним (4), 26-Фев-22, 16:10
С этими флатпаками никогда не поймешь в какие хостовые папки у него есть доступ, а в какие нет. В каждом приложении по разному /tmp может быть у кого-то хостовым у кого-то своим. И так про все папки. Причем если и попытаешься что-то сам настроить со следующим апдейтом все слетит. Короче не нужен этот ваш флатпак думайте по новой. Сделайте лучше как в венде где всё просто работает.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+/–
	Сообщение от keydon (ok), 27-Фев-22, 06:27
	Он ещё довольно ущербно в других контейнерах работает, что неприятно для сборок использующих флэтпак(тот же хром как пример, причём там скрипт для сборки написан криво - ставит флэтпак даже если он и не нужен) И уже натыкался на людей которые ставят пакет через флэтпак и забывают про него, а потом удивляются почему это конфиг не применяется с хвостовой машины. Да, они ССЗБ что не знают инструментов которые используют, но проблему лишней сущности это не отменяет. Ну и в целом концепция флэтпака ущербная, позволяет разработчикам разжижать мозги и делать тяп-ляп вместо "подумать и переделать" Так что пользы от него пока никакой, а вреда уже слишком много
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+/–
	Сообщение от Аноним (9), 27-Фев-22, 11:01
	Сделайте ему клавишу "Zaipis!"
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

6. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+1 +/–
Сообщение от Kuromi (ok), 27-Фев-22, 00:04
"На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений." Не только, Gnome Web тоже использует его чтобы вэбкит изолировать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+/–
	Сообщение от mikhailnov (ok), 28-Фев-22, 03:13
	Сам вебкит это делает
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+/–
Сообщение от Аноним (8), 27-Фев-22, 09:33
> Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера. А в чем тогда разница между пакетами bubblewrap и bubblewrap-suid в Arch? Зачем два варианта?
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Выпуск Bubblewrap 0.6, прослойки для создания изолированных ..."	+/–
	Сообщение от Аноним (11), 28-Фев-22, 20:25
	bublewrap-suid для hardened ядра, там user namespaces отключены. bubblewrap для всех остальных.
	Ответить \| Правка \| Наверх \| Cообщить модератору