Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Проект Landrun развивает непривилегированную систему изоляции приложений"	+/–
Сообщение от opennews (??), 23-Мрт-25, 13:28
Проект Landrun начал развитие новой системы для изолированного выполнения отдельных приложений. Для изоляции задействован  LSM-модуль ядра Linux Landlock, позволяющий обойтись без выполнения привилегированных операций во время создания  sandbox-окружения. По своим задачам Landrun близок к утилите Firejail, но отличается более простой реализацией, легковесностью и возможностью работы под обычным непривилегированным пользователем без поставки с флагом suid. Код проекта написан на языке Go и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62934
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Проект Landrun развивает непривилегированную систему изоляци..."	+9 +/–
Сообщение от Аноним (1), 23-Мрт-25, 13:28
Хорошо с самого начали стали делать на быстром и безопасном языке Go на котором легко писать и поддерживать код.
Ответить | Правка | Наверх | Cообщить модератору

	3. "Проект Landrun развивает непривилегированную систему изоляци..."	–2 +/–
	Сообщение от Аноним (3), 23-Мрт-25, 13:40
	На гитхабе есть проект go-is-not-good. Долгое, но любопытное чтиво. Впрочем фанатики и тролли, как всегда, пройдут мимо.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Проект Landrun развивает непривилегированную систему изоляци..."	–4 +/–
	Сообщение от Аноним (9), 23-Мрт-25, 14:01
	> go-is-not-good Надо почитать, я вот тоже склоняюсь к тому что всякие go и rust, не очень хорошее. Должна быть унификация.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Проект Landrun развивает непривилегированную систему изоляци..."	+9 +/–
	Сообщение от Аноним (14), 23-Мрт-25, 14:33
	Один Язык, чтобы править всеми… осталось только договориться, какой.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Проект Landrun развивает непривилегированную систему изоляци..."	+7 +/–
	Сообщение от Аноним (19), 23-Мрт-25, 15:03
	Си. Чистый Си.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Нуину (?), 23-Мрт-25, 16:13
	Туда мы пойдем семь проездов по памяти, а обратно полетим на расте.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (64), 23-Мрт-25, 23:59
	#include <stdio.h> int main() {   int a = -100;   unsigned int b = 5;   int c = a / b;   printf("Результат деления %d на %d равен %d\n", a, b, c);   return 0; } $ gcc -Wall -Wextra 1.c && ./a.out Результат деления -100 на 5 равен 858993439 классно правда? Впрочем С++ ещё хуже.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	65. "Проект Landrun развивает непривилегированную систему изоляци..."	+4 +/–
	Сообщение от Специальный Агент Секретной Службы (?), 24-Мрт-25, 01:09
	вас не учили что неявное приведение типов плохо? c = a / (int)b;
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Анониссимус (?), 24-Мрт-25, 10:39
	А есть языки, в которых неявное приведение работает очень даже хорошо. Почему бы не пользоваться ими, вместо того чтобы жрать кактус и писать бойлерплейт?
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (80), 24-Мрт-25, 12:24
	В нормальный языках будет ошибка компиляции. В си будет порождён бинарник с мусором. Уже по этой причине - си однозначно плохой язык.
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	75. "Проект Landrun развивает непривилегированную систему изоляци..."	+2 +/–
	Сообщение от Аноним Анонимович Анонимов (?), 24-Мрт-25, 11:45
	Что приведённым выше примером вы хотите сказать, на ЯП отличимых от Си это нормальный код? Или вы хотите сказать, что данная бредятина является нормой для Си?
	Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

	81. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (80), 24-Мрт-25, 12:25
	>на ЯП отличимых от Си это нормальный код? В нормальных языках ошибочный код просто не компиллируется
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от гулигули (?), 24-Мрт-25, 15:02
	Ты не пройдёшь. -Wconversion -Werror
	Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

	87. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от zionist (ok), 24-Мрт-25, 15:27
	Да, в Go такой код даже не скомпилируется     var a int = -100     var b uint = 5     var c int = a / b Тут уже на третьей строке ошибка компиляции.
	Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

	73. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Гром (?), 24-Мрт-25, 10:44
	На чистом Си писать - сумасшествие! С++ лучше, если убрать исключения и добавить строгую типизацию.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	40. "Проект Landrun развивает непривилегированную систему изоляци..."	+4 +/–
	Сообщение от Аноним (40), 23-Мрт-25, 18:23
	ada конечно хотя импортозамещение же потому рая
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	53. "Проект Landrun развивает непривилегированную систему изоляци..."	+1 +/–
	Сообщение от Анонимм (??), 23-Мрт-25, 20:39
	Но чтобы сразу и все, как сказал Главкодер.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Проект Landrun развивает непривилегированную систему изоляци..."	+2 +/–
	Сообщение от WE (?), 23-Мрт-25, 14:50
	Как вы докажете, что есть только один истинный Язык? а всё остальное язычество (простите).
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	20. "Проект Landrun развивает непривилегированную систему изоляци..."	+5 +/–
	Сообщение от Аноним (19), 23-Мрт-25, 15:05
	Чистый Си являет нам истинность и язычество в одном лице.
	Ответить | Правка | Наверх | Cообщить модератору

	119. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (119), 25-Мрт-25, 15:55
	Ибо нет языка больше кроме Си!
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Проект Landrun развивает непривилегированную систему изоляци..."	+2 +/–
	Сообщение от Аноним (10), 23-Мрт-25, 14:09
	Там последний пост от 18го года(уже 6 лет!) и он не открывается. Всё остальное вообще уже протухшее и не актуальное. Куча однотипных жалоб на "нет дженериков" которые добавили 3 года назад в 1.18. Go отличный язык и экосистема у него богатая. Если интересует язык лучше чем go где реально поправили мешающие вещи(а не этот бредовый перечень), то есть V. Но с экосистемой там пока печально
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	15. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (15), 23-Мрт-25, 14:36
	Список большой, весь не читал, но то, что написано, в основном не исправили: defer, nil, обработка ошибок, слабая ситема типов, наличие указателей, требование к обязательному использованию символов. Самое главное, что в отличии от дженериков это даже не собираются исправлять
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Проект Landrun развивает непривилегированную систему изоляци..."	+1 +/–
	Сообщение от _ (??), 23-Мрт-25, 20:00
	Там написан сок мозга от волшебных на всю голову идиотов, уж извините за прямоту :-) Даже generics зря вкрутили. Не, даже так - ну вот вкрутили ... И?!?!?! И нах никому не надо! И так будет по всему тому списку :) Вообще то, кому не нравится - вокруг Ёзыков же на любой вкус, вот и идте ... туда :)
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (80), 24-Мрт-25, 12:29
	>Даже generics зря вкрутили. Не, даже так - ну вот вкрутили ... И?!?!?! Правильно, вместо добавления generic нужно просто объявить весь код на go deprecated, и переключится на другой язык >Вообще то, кому не нравится - вокруг Ёзыков же на любой вкус, вот и идте ... туда :) Проблема не в том, что в голанге много чего нет. Проблема в том, что язык с технологиями устаревшими ещё в конце восьмидесятых усиленно толкается в массы.
	Ответить | Правка | Наверх | Cообщить модератору

	94. "Проект Landrun развивает непривилегированную систему изоляци..."	+1 +/–
	Сообщение от _ (??), 24-Мрт-25, 17:22
	>Правильно, вместо добавления generic нужно просто объявить весь код на go deprecated, и переключится на другой язык Буду вам премного благодарен! Звиздуйте в раст или куда там нынче модно :) >Проблема не в том, что в голанге много чего нет. Ого! Ты типа НЕ безнадёжен?! :) >Проблема в том, что язык с технологиями устаревшими ещё в конце восьмидесятых усиленно толкается в массы. Скорее же ставь треугольные колёса на свой велик!!! :) Go - просто сказка для программинга во времена "компьютер - это сеть" если кто помнит солнечные девизы :) Ну а если вы родились уже после - поищите :)
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от OpenEcho (?), 23-Мрт-25, 18:16
	> На гитхабе есть проект go-is-not-good. Пояснение: для тех кто в хайп > Впрочем фанатики и тролли, как всегда, пройдут мимо Да, точно, там достойное сборище троллей-блогеров, которые не втыкают почему есть вилка и почему есть ложка... если не ООП и не обмазка абстракциями, то всё - "отстой", причем с "авторитетами" там "полный порядок", просто кишат "авторитеты"... полное 100% "доверие". Ну и то, что 10 летней давности - ваще не проблема... главное ведь нагадить на вентилятор мнениями "авторитетных" блоггеров, которые будут "определенно поумней гугла" Уж лучше был бы фанатиком и троллем и прошел правда мимо, спасибо конечно, но лопайте сами
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	83. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (80), 24-Мрт-25, 12:34
	>Да, точно, там достойное сборище троллей-блогеров, которые не втыкают почему есть вилка и почему есть ложка... если не ООП Хорошо, делайте язык без ООП, но с ФП. Хотя-бы на уровне окамла >и не обмазка абстракциями, то всё - "отстой" В этом то и проблема, что абстракций на голанге почти нет. Отказались от исключений, но зато вместо ошибок нетипизированный err. Ни эффектов, ни полиморфных вариантов, ни алгебраических типов данных, ни монад, ни чего-то другого - ничего. Не забывайте писать if err != nil {   return _, err }
	Ответить | Правка | Наверх | Cообщить модератору

	105. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от OpenEcho (?), 24-Мрт-25, 18:33
	> Ни эффектов, ни полиморфных вариантов, ни алгебраических типов данных, ни монад, ни чего-то другого - ничего. Это то, о чем я говорил, - есть ложка, а есть вилка и у каждого свое предназначение. Смысл всех этих абстракций вы перечислили, по большому счету нужен только в интерпрайзах, и если внимательно покопать, то всё это сделанно исключительно чтоб Маша не сделала глобальную переменную "Cool", которую Вася тоже умудрился придумать в совместном проекте. Го же специализируется не на интерпрайзном уровне как Жаба, Шарп... а как инстурмент "стрельнул и забыл", в контейнерах, лямбдах, там где "do one thing but do it best". Смысл языка - простота и легкость и гибкость
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Проект Landrun развивает непривилегированную систему изоляци..."	–3 +/–
	Сообщение от Аноним (23), 23-Мрт-25, 15:56
	Ага. Язык со сборкой мусора - лучший выбор для системного программирования.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	31. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (1), 23-Мрт-25, 16:51
	Не нравится отключи. Твой написанный на коленке коллектор для раста в разы хуже.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (23), 23-Мрт-25, 17:08
	А что, если я на Си/С++/Зиг пишу?
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (54), 23-Мрт-25, 21:15
	Там коллекторы хорошие.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (76), 24-Мрт-25, 11:49
	Пожалуй, да, new/delete лучше.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (76), 24-Мрт-25, 11:50
	Для системного программирования.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от OpenEcho (?), 23-Мрт-25, 17:17
	> лучший выбор для системного программирования Для системного програмирования достаточно даже Баша... вообще-то, ну если вы конечно знаете определение "системного програмирования"
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	36. "Проект Landrun развивает непривилегированную систему изоляци..."	–1 +/–
	Сообщение от Аноним (23), 23-Мрт-25, 17:33
	> Для системного програмирования достаточно даже Баша... Напишите это под новостью об очередной уязвимости в GRUB (например). Но речь, ведь, шла не о "достаточности".
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Проект Landrun развивает непривилегированную систему изоляци..."	+1 +/–
	Сообщение от OpenEcho (?), 23-Мрт-25, 18:19
	> Напишите это под новостью об очередной уязвимости в GRUB (например). Тролим или не втыкаем ? Какое отношение имеют уязвимости к опеределию "системного програмирования" ?
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от 12yoexpert (ok), 24-Мрт-25, 10:16
	какое отношение определение имеет к системному программированию?
	Ответить | Правка | Наверх | Cообщить модератору

	107. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от OpenEcho (?), 24-Мрт-25, 18:37
	> какое отношение определение имеет к системному программированию? Какое отношение тролли имеют вообще к програмированнию ?
	Ответить | Правка | Наверх | Cообщить модератору

	112. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от 12yoexpert (ok), 24-Мрт-25, 20:25
	никакого, за это их и выперли из мейнтейнеров ядра, а какое это имеет отношение к теме?
	Ответить | Правка | Наверх | Cообщить модератору

	113. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от OpenEcho (?), 24-Мрт-25, 22:44
	> никакого, за это их и выперли из мейнтейнеров ядра, а какое это > имеет отношение к теме? while true {   https://www.opennet.me/openforum/vsluhforumID3/136379.html#35 }
	Ответить | Правка | Наверх | Cообщить модератору

	106. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (106), 24-Мрт-25, 18:36
	Уязвимости имеют отношение к достаточности. А к системному программированию имеет отношение GRUB, написанный, в т.ч., на sh.
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	60. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Нуину (?), 23-Мрт-25, 23:07
	Тут же задача просто все настроить и запустить.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	37. "Проект Landrun развивает непривилегированную систему изоляци..."	–1 +/–
	Сообщение от титомир (?), 23-Мрт-25, 18:08
	опять никому не нужный софт
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	71. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Анониссимус (?), 24-Мрт-25, 10:37
	А вы хоть сами писали на нём? По-моему, это вообще wo-язык. Пока продерёшься через тонну бойлерплейта, уже забудешь, о чём шла речь несколько страниц назад.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	97. Скрыто модератором	+/–
	Сообщение от _ (??), 24-Мрт-25, 17:25
	8-о Ты эта ... к доктору сходи ... если гошка нечитаем - у тебя реально проблемы с головой :(
	Ответить | Правка | Наверх | Cообщить модератору

	116. Скрыто модератором	+/–
	Сообщение от Анониссимус (?), 25-Мрт-25, 02:31
	Если го -- читаемый, то эталоном читаемости надо назначить брейнфайк: 8 символов и ничего лишнего. Красота!
	Ответить | Правка | Наверх | Cообщить модератору

2. "Проект Landrun развивает непривилегированную систему изоляци..."	+1 +/–
Сообщение от Аноним (1), 23-Мрт-25, 13:33
Изолированные приложения можно переместить на другой сервер без остановки или поменять версии библиотек. Очень удобно.
Ответить | Правка | Наверх | Cообщить модератору

4. "Проект Landrun развивает непривилегированную систему изоляци..."	–3 +/–
Сообщение от Аноним (4), 23-Мрт-25, 13:42
Почему просто либо не запускать не доверенные приложения, либо запускать их под отдельным пользователем или на отдельной системе?
Ответить | Правка | Наверх | Cообщить модератору

	11. "Проект Landrun развивает непривилегированную систему изоляци..."	+3 +/–
	Сообщение от Werwolf (ok), 23-Мрт-25, 14:12
	1) для работы часто требуется запускать ПО к которому ноль доверия, но без которого работа не работает 2) ты удивишься как многое может выудить в системе софт работая под другим пользователем из того чего ему не стоит знать 3) запускать такой софт в виртуалке или на другом железе конечно можно, но это лишний оверхед, можно и в контейнере, но это то же самое только больше места на диске займёт
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (15), 23-Мрт-25, 14:40
	>либо не запускать не доверенные приложения, весь код проверить невозможно, особенно проприетарный >либо запускать их под отдельным пользователем попробуй текстовой редактор запустить под отдельнымпользователем, расскажешь про проблмы с правами >или на отдельной системе? Не у всех есть десяток неиспользуемых компьютеров
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	26. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (4), 23-Мрт-25, 16:10
	Системе, а не машине.
	Ответить | Правка | Наверх | Cообщить модератору

5. "Проект Landrun развивает непривилегированную систему изоляци..."	–1 +/–
Сообщение от Аноним (5), 23-Мрт-25, 13:46
Я сам тут пишу что-то подобное, но на питоне. Вылезли гигантские проблемы даже без изоляции сторонних приложений, а даже на самоизоляции.
Ответить | Правка | Наверх | Cообщить модератору

6. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
Сообщение от Werwolf (ok), 23-Мрт-25, 13:46
systemd-run позволяет делать то же самое но есть из коробки firejail позволяет описать это в конфиге а не в команде чем это будет лучше? P.S.: не тролю, правда интересно..
Ответить | Правка | Наверх | Cообщить модератору

	24. "Проект Landrun развивает непривилегированную систему изоляци..."	+4 +/–
	Сообщение от Аноним (23), 23-Мрт-25, 16:00
	Оба требуют передачи привилегий. systemd-run через Polkit, firejail - через setUID bit.
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от OpenEcho (?), 23-Мрт-25, 18:27
	> systemd-run есть не везде > firejail позволяет описать это в конфиге а не в команде чем это будет лучше? То же самое, - не везде есть, а с LSM единстевенное что нужно - линуксовый кернел и работать будет без рута, учитывая что в Го легко в статику, а значит очень портабельно в пределах платформы
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	108. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (108), 24-Мрт-25, 18:54
	>> systemd-run >есть не везде То есть сабж — исключительно для локалхостов на девуанах? Ок, действительно им такое нужно.
	Ответить | Правка | Наверх | Cообщить модератору

	114. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от OpenEcho (?), 24-Мрт-25, 22:45
	>>> systemd-run >>есть не везде > То есть сабж — исключительно для локалхостов на девуанах? Ок, действительно им такое нужно. - Alpine Linux? - "Не, не слышал..."
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (108), 25-Мрт-25, 01:38
	> Продакшен > musl Что ещё интересного расскажете?
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от OpenEcho (?), 25-Мрт-25, 08:12
	А смысл? Безполезно.
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от _ (??), 23-Мрт-25, 20:23
	>firejail ... заявили что берут $Subj как один из бакэндов ... Как ты думаешь - почему? ;-)
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
Сообщение от Аноним (5), 23-Мрт-25, 13:48
>позволяющие использовать подсистему ядра Landlock для изоляции без suid-бита и повышения привилегий Неэффективно. landlock в данный момент не позволяет ограничивать  сисколлы, это работа сейчас для seccomp-BPF, который, как и всё BPFное, требует привилегий.
Ответить | Правка | Наверх | Cообщить модератору

	8. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (5), 23-Мрт-25, 13:50
	И да, firejail с самого начала следовало использовать не костыли, а на лету генерировать apparmor-профили. Но apparmor очень хреново документирован, их дока - полнейшая помойка.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от _ (??), 23-Мрт-25, 20:25
	>apparmor А что он хоть кому то нужен? Кому нужно _формальная_ сертификация (с бумагами и штампами, ага) - всё равно на selinux-е ... ;-P :)
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от нах. (?), 24-Мрт-25, 08:47
	А кому была нужна именно защита уровня приложений (а не совершенно бесполезный мандатный доступ) - куды бечь? selinux в targeted - единственное _реалистичное_ применение этой технологии - а)забивание гвоздей кривым микроскопом b) слишком сложен для смертных (поэтому и не используется никем кроме rhbm) apparmor был более здоровым подходом - "ок, мандатный доступ не получился, давайте сделаем хотя бы ограничение доступа приложениям из списка с помощью изначально для этого предназначенного инструмента". Но что-то снова пошло не так... И да, кому-то нужен - от suse до бабуинты. service apparmor stop && service apparmor teardown ихнее всьо
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от _ (??), 24-Мрт-25, 17:53
	>А кому была нужна именно защита уровня приложений (а не совершенно бесполезный мандатный доступ) - куды бечь? Хорошего ответа для линукса у меня нет :( Есть много ответов уровня такси-бЭ - $subj к приеру :) Кста, те кто на фряхе - вы всё ещё jail пользуете? Оно живое ещё? >selinux в targeted - единственное _реалистичное_ применение этой технологии - а)забивание гвоздей кривым микроскопом b) слишком сложен для смертных (поэтому и не используется никем кроме rhbm) А никто и не делает формальную (прям с бумажкой!) сертификацию на EAL/FIPS на чём то другом кроме RHEL-a :) Ну ОК - лично я уж лет 15 такого не видел, может и не прав. >apparmor был более здоровым подходом ... >Но что-то снова пошло не так... Аудит с ним пройти - это ... Тут и с полностью сертифицированным инструментарием взпотеешь :( >И да, кому-то нужен - от suse до бабуинты. >service apparmor stop && service apparmor teardown ихнее всьо Возможно. Я ж говорю: мне лично не встречался, когда попробовали сами прикинуть (пытались денег сЪЫкономить) как то совсем оно ... не то чтоли... PS: Дошло. Я всё что выше говорил - говорил про сервера! Я _про_сервера_! Как оно на десктопе в промышленных масштабах - я не в курсе, у нас там винда \ яббл.
	Ответить | Правка | Наверх | Cообщить модератору

	121. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (-), 25-Мрт-25, 19:30
	>те кто на фряхе - вы всё ещё jail пользуете? Оно живое ещё? Пользуем, а что ему сделается? Хотя, общая тенденция именно у фри не радует давно уже... Однако есть и другие BSD, и солярки, если линуксоидизация (привет KMS) вообще прижмёт...
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (89), 24-Мрт-25, 17:03
	selinux защищает всю систему. Он нужен исключительно для герметичных образов, где все бинарники ставятся разработчиком образа ОС, напр. гуглом или сисадминами NSA. Пользователь на таких системах 1. программы сам не ставит. 2. использует заведомо оговоренные программы заведомо оговоренным способом. То есть аналитик NSA или CIA на рабочей станции - чтобы инфу налево не смог скопировать. Или пользователь ведроида - чтобы DRM работало лучше (чтобы было труднее обойти без сжигания efuse). Вот предназначение selinux.
	Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

	90. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (89), 24-Мрт-25, 17:06
	Соответственно, сертификации - они как раз с прицелом на то, что сисадмины дали образ - вот, используем его, а данные не сливаем налево не сливаем, и рабочую машину в посторонних целях не юзаем. Собственно, для чего selinux и создавался. На персональных машинах ему не то что бы не место, просто не подходит он для этого.
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от _ (??), 24-Мрт-25, 18:04
	>Собственно, для чего selinux и создавался. >На персональных машинах ему не то что бы не место, просто не подходит он для этого. Возможно и так, но вот ваша Fedora - почему то считает наеборот :) чЁтаГто?!? (С)
	Ответить | Правка | Наверх | Cообщить модератору

	109. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (108), 24-Мрт-25, 19:03
	> На персональных машинах ему не то что бы не место, просто не подходит он для этого. Да как раз наоборот, именно на локалхостах он больше всего и нужен! С рабочей машины я максимум на Stack Overflow хожу, и в прод через VPN с 2FA и все джамп-хосты ещё попробуй залезь. А вот со своего локалхоста я что только ни открываю. Украдут через дырку в браузере логины-пароли от банкинга и будет головняка на месяц деньги вернуть, если не на три. Вот это реальный риск.
	Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

	99. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от _ (??), 24-Мрт-25, 18:03
	>Он нужен исключительно для герметичных образов, где все бинарники ставятся разработчиком образа ОС, напр. гуглом или сисадминами NSA. Ну то есть как это реально работает в любой финансовой, биржевой, медицинской или говернметской среде - ты ни разу не видел? Но мнение имеешь? :) Предсказуемо важное мнение для тех кто на этом работает :-D
	Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

12. "Проект Landrun развивает непривилегированную систему изоляци..."	+6 +/–
Сообщение от Аноним (12), 23-Мрт-25, 14:20
Сложный процесс изобретения jail продолжался.
Ответить | Правка | Наверх | Cообщить модератору

	95. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (80), 24-Мрт-25, 17:23
	Что, jail в bsd по вашему уже сейчас может предоставить аналогичную функциональность?
	Ответить | Правка | Наверх | Cообщить модератору

	101. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от _ (??), 24-Мрт-25, 18:08
	Он >80% от всего что надо ещё в нулевые умел, аЧпеТа!(С) :) Потом я спрыгнул, но всё-же в курсе что прикрутили к примеру сеть ... чего он нынче "не умеет" - я не в курсе, алЁ фряшники! - нуна чутка разЪяснений! Есть тут кто?
	Ответить | Правка | Наверх | Cообщить модератору

	120. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (-), 25-Мрт-25, 19:23
	Есть, а тебе что надо-то конкретно? А маны почитать с минуту - вообще никак, да?
	Ответить | Правка | Наверх | Cообщить модератору

13. "Проект Landrun развивает непривилегированную систему изоляци..."	–2 +/–
Сообщение от Аноним (13), 23-Мрт-25, 14:29
>Механизм Landlock позволяет непривилегированным программам ограничить использование объектов ядра Linux, таких как иерархии файлов, сетевые сокеты и ioctl ... без suid-бита и повышения привилегий. Т.е., произвольный непривилегированный процесс может управлять доступом к ресурсам ядра других процессов. Бред какой-то!
Ответить | Правка | Наверх | Cообщить модератору

	18. "Проект Landrun развивает непривилегированную систему изоляци..."	+2 +/–
	Сообщение от Аноним (5), 23-Мрт-25, 14:50
	Ты ничего не понимаешь. landlock - это та вещь, которая вообще должна была быть изначально из коробки.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от ЛучДонаХуана (?), 23-Мрт-25, 15:12
	не управлять, у делать exec дочерного процесса с привелегиями ниде чем он сам
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	22. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от дохтурЛол (?), 23-Мрт-25, 15:14
	Не "других", а своего собственного, либо собственных дочерних.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	42. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (42), 23-Мрт-25, 18:29
	Т.е. если кто-то другой запустил прогу, а не этот ландрас, то ничего изолироваться не будет?! Это как ворота в пустыне. Спасибо, уж лучше аппармор.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (23), 23-Мрт-25, 18:35
	Они все так работают (firejail, bubblewrap/flatpak).
	Ответить | Правка | Наверх | Cообщить модератору

25. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
Сообщение от Аноним (23), 23-Мрт-25, 16:04
Главная проблема всех этих jail-ов: как их встраивать в готовый дистрибутив с готовым пакетным менеджером?
Ответить | Правка | Наверх | Cообщить модератору

	28. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Нуину (?), 23-Мрт-25, 16:15
	Конретно firejail от пакетов не зависит, изолирует уже установленный софт через профили.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Проект Landrun развивает непривилегированную систему изоляци..."	+1 +/–
	Сообщение от Аноним (23), 23-Мрт-25, 16:21
	О чём и речь. Firejail изолирует malware, но никак не изолирует /usr/bin/malware или ./malware.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Нуину (?), 23-Мрт-25, 16:24
	Нет же, как раз будет изолирован /usr/bin/malware. ./malware нет.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (23), 23-Мрт-25, 17:05
	А вот и нет. Будет изолирован только процесс, вызванный из специально сконфигурированной оболочки командой, требующей поиска пути в PATH. А вот вызов с указанием пути, в т.ч. с абсолютным путём (/usr/bin/*), будет пропущен как есть.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (42), 23-Мрт-25, 18:34
	читаем внимательно: > ... работы под обычным непривилегированным пользователем потому ограничения только на дочерние процессы
	Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

	46. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (46), 23-Мрт-25, 19:15
	>/usr/bin/malware Если вам кто-то от рута поставил malware - то это Game Over, не находите?
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	59. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (59), 23-Мрт-25, 22:01
	> О чём и речь. Firejail изолирует malware, но никак не изолирует > /usr/bin/malware или ./malware. Если у меня /usr/bin/malware в системе лежит - изолировать что-то уже поздняк, ибо какой-то м...к получил рут в системе и делает там что хочет :). Как вы от рута изолироваться собрались?
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	78. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (78), 24-Мрт-25, 12:08
	Изоляция нужна только чтобы специально подготовленные данные, полученные от злоумышленника, не имели слишком много возможностей после эксплуатации уязвимости. А вообще, рута ограничивают всевозможные rbac и selinux, обойти их совершенно отдельная ресурсоёмкая задача, посильная только преступнику уровня state.
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (89), 24-Мрт-25, 17:12
	То то на XDA Developers "преступники уровня state" рутилки делают. selinux обошли так: пропатчили 2nd-stage bootloader, который почему-то оказался доступен на запись ... после чего после перезагрузки патченный bootloader патчит ФС, и восстанавливает себя.
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (78), 24-Мрт-25, 17:24
	При физическом доступе не оч интересно.
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (88), 24-Мрт-25, 16:48
	Рут тут вообще ни при чем. Речь шла о том, что все эти джейлы встраиваются в систему через симлинк с именем программы по пути /usr/local/bin (или ~/.local/bin), добавленного в начало переменной PATH. То есть проскочить мимо песочницы супер тривиально. Достаточно вам (или любому запущенному процессу вместо вас) вызвать, например, веб-браузер по абсолютному пути, и вы даже не заметите, что браузер запущен в обход песочницы. Тоже самое, если запустить его из окружения, в котором переменная PATH настроена иначе. Различные MAC-средства (SELinux, AppArmor, Tomoyo) предотвращают такие казузы, а эти джейлы-запускалки (bubblewrap, firejail и т.п.) - нет. (Flatpak использует bubblewrap, но таскает своё окружение (и собранное под него ПО) с собой.) P.S. Само-собой, что песочницы не предназначены для запуска недоверенного кода. Это никогда не безопасно. Они нужны, чтобы уменьшить риск эксплуатации уязвимостей в доверенном коде.
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	93. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (80), 24-Мрт-25, 17:22
	>Различные MAC-средства (SELinux, AppArmor, Tomoyo) предотвращают такие казузы С SELinux понятно, там это через аттрибуты файлов, а как AppArmor и Tomoyo в этом помогут? Тем более, что следующим шагом можно скопировать бинарник, и путь у него поменяется >Достаточно вам (или любому запущенному процессу вместо вас) вызвать, например, веб-браузер по абсолютному пути, и вы даже не заметите, что браузер запущен в обход песочницы При наличии песочницы, это уже работает. Суть в том, что недоверенный код запускается уже внутри песочницы сразу, а доверенный что попало не запускает
	Ответить | Правка | Наверх | Cообщить модератору

	104. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (106), 24-Мрт-25, 18:25
	> С SELinux понятно, там это через аттрибуты файлов, а как AppArmor и Tomoyo в этом помогут? Тем более, что следующим шагом можно скопировать бинарник, и путь у него поменяется 1) Помогает блокировка альтернативных, обычно разрешенных на запись пользователю, мест запуска. Например, через mount.FS noexec или отдельным AA-профилем для /{home,tmp}/**. 2) Но можно и через атрибуты файлов. См. man 7 apparmor_xattrs. > При наличии песочницы, это уже работает. Наличия недостаточно. Нужно правильно встроить. Я уже объяснял, почему. "Перехват" вызова "голой" программы через переменную PATH - это несерьезно. > Суть в том, что недоверенный код запускается уже внутри песочницы сразу, а доверенный что попало не запускает Доверенный код, запущенный в песочнице, может косвенно вызвать другую (в т.ч. недоверенную) программу через доверенный механизм (например, DBus+Portal). И другой родительский процесс (системный менеджер), запущенный от рута, мимо нашей песочницы, породит, что попросят.
	Ответить | Правка | Наверх | Cообщить модератору

48. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
Сообщение от Анонимм (??), 23-Мрт-25, 20:14
Отлично! Теперь GIMP и прочие замечательные опенсорс приложения заиграют новыми красками.
Ответить | Правка | Наверх | Cообщить модератору

57. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
Сообщение от Аноним (57), 23-Мрт-25, 21:51
Просто парад "крепостестроения". Вторая новость за неделю. Читаешь идеи проекта и ловишь себя на мысли, что всё это делает SELinux.
Ответить | Правка | Наверх | Cообщить модератору

	74. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Анониссимус (?), 24-Мрт-25, 10:46
	Мог бы делать, но почему-то не делает. Почему бы?
	Ответить | Правка | Наверх | Cообщить модератору

	102. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от _ (??), 24-Мрт-25, 18:12
	Как не делает? Ты его в новых rhel вообще выключи попробуй! ;-) PS: Я - могу. Но не буду. Порешили порешить(С)
	Ответить | Правка | Наверх | Cообщить модератору

	117. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Анониссимус (?), 25-Мрт-25, 02:33
	> Как не делает? Ты его в новых rhel вообще выключи попробуй! ;-) Красношапки не касался. Если там это работает -- молодцы, что сказать. Но мне интереснее -- не десктопного использования. Например, интернет отрубить подозрительному приложеньицу. Для этого до сих пор не придумано ничего подходящего, работающего из коробки.
	Ответить | Правка | Наверх | Cообщить модератору

58. "Проект Landrun развивает непривилегированную систему изоляци..."	–1 +/–
Сообщение от Аноним (59), 23-Мрт-25, 21:59
> Код проекта написан на языке Go Значит продолжим использовать firejail, спасибо что написали :). Экосистема с телеметрией в компилере от гугли - такое себе.
Ответить | Правка | Наверх | Cообщить модератору

	62. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Нуину (?), 23-Мрт-25, 23:17
	Можно собрать gccgo?
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от нах. (?), 24-Мрт-25, 08:52
	можно, разрешаю. (работать правда не будет, но собирать-то никто не против)
	Ответить | Правка | Наверх | Cообщить модератору

	103. "Проект Landrun развивает непривилегированную систему изоляци..."	+1 +/–
	Сообщение от _ (??), 24-Мрт-25, 18:16
	>> Код проекта написан на языке Go > Значит продолжим использовать firejail, спасибо что написали :). Но это не надолго снежинка :) Текст новости надо _читать_ ВНЕЗАПНО! :-))) А там: "... в кодовую базу Firejail уже приняты изменения, позволяющие использовать подсистему ядра Landlock для изоляции без suid-бита..."
	Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

61. "Проект Landrun развивает непривилегированную систему изоляци..."	+1 +/–
Сообщение от Нуину (?), 23-Мрт-25, 23:16
Чем это отличается от bubblewrap, который также не требует suid?
Ответить | Правка | Наверх | Cообщить модератору

	66. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (66), 24-Мрт-25, 06:42
	Без suid он требует включения user namespace, что огромный вектор для атак на всю систему с учётом постоянно всплывающих в ядре уязвимостей, которые можно эксплуатировать при включённом user namespace.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от нах. (?), 24-Мрт-25, 08:50
	этот требует еще недописанного толком нового модуля ведра. Что, что может тут пойти не так?! (диды вообще-то не по желанию левой пятки сделали jail и его линуксные костылеаналоги работающим только от рута)
	Ответить | Правка | Наверх | Cообщить модератору

	92. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
	Сообщение от Аноним (89), 24-Мрт-25, 17:13
	landlock никогда не будет дописан. Он изначально дизайнился как расширяемый.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Проект Landrun развивает непривилегированную систему изоляци..."	–1 +/–
	Сообщение от Аноним (78), 24-Мрт-25, 12:10
	Без user namespace ты пятую точку выставляешь в дыру, каждый раз, когда открываешь веббраузер.
	Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

84. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
Сообщение от Аноним (80), 24-Мрт-25, 14:48
>По своим задачам Landrun близок к утилите Firejail, Firejail из коробки ограничивает доступ не ко всем ресурсам, что делает побег из песочницы очень простым
Ответить | Правка | Наверх | Cообщить модератору

86. "Проект Landrun развивает непривилегированную систему изоляци..."	+/–
Сообщение от Аноним (86), 24-Мрт-25, 15:20
мне сегодня syncthing изолировали. ещё одна местная разработка.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема