forum.opennet.ru - "Релиз системы изоляции приложений Firejail 0.9.78" (53)

"Релиз системы изоляции приложений Firejail 0.9.78"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Релиз системы изоляции приложений Firejail 0.9.78"	+/–
Сообщение от opennews (??), 04-Янв-26, 10:55
Опубликован релиз проекта Firejail 0.9.78, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64553
Ответить \| Правка \| Cообщить модератору

Оглавление

Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и , Аноним (1), 10:55 , 04-Янв-26, (1) –4

Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений, Аноним (9), 11:52 , 04-Янв-26, (9) +7

А во фряхе третьи лица или кто делал такой же jail https www opennet ru openne, Аноним (22), 14:37 , 04-Янв-26, (22) –2

Скрыто модератором, Аноним (53), 22:57 , 04-Янв-26, (53)

ты изолируешь приложения из состава дистрибутива, при этом используешь вторую ча, penetrator (?), 16:22 , 04-Янв-26, (25) –1

Не нахожу Ибо сырцы приложений предоставлены одними, собраны они другими, а изо, Аноним (9), 17:58 , 04-Янв-26, (41) +1

что-то тебя понесло,ты доверяешь той половине которую не изолируешь, но не довер, penetrator (?), 18:17 , 04-Янв-26, (46) +1

Тут скорее аналоги https github com igo95862 bubblejail или https github com, Аноним (10), 11:55 , 04-Янв-26, (10)
Разработчик трояна ограничивает доступ своего трояна к системе Хитро, ничего не, Аноним (15), 13:04 , 04-Янв-26, (15) +1
firejail и bubblewrap интегрируются с системным ПО flatpak навязывает свой репоз, Аноним (16), 13:44 , 04-Янв-26, (16) +1

Оба никак не интегрируются с системным ПО Под интегрироваться имеем в виду, ч, Аноним (1), 14:02 , 04-Янв-26, (21)

а как положить desktop-файлы не туда куда надо если опасаешься собственной , Аноним (37), 17:12 , 04-Янв-26, (37)

Ну тогда уже https github com landlock-lsm island , но надо на C переписать , Аноним (29), 16:29 , 04-Янв-26, (29)
сделай appimage и следы в хомяке исчезнут чтоб совсем не сомневаться, запусти си, Аноним (37), 17:06 , 04-Янв-26, (36) +1

Сделай то, сделай сё Согласись, звучит куда сложнее, чем нажать кнопку Insta, Аноним (38), 17:30 , 04-Янв-26, (38)

в безопасности нет решения - нажать кнопку Чтоб стало ЗАЕ Ь в большинстве сл, Аноним (39), 17:39 , 04-Янв-26, (39)

Решение есть, просто ты упорно его игнорируешь Ребутнуться Это даже хуже решени, Аноним (1), 17:50 , 04-Янв-26, (40)

Зачем нужны flatpak, Wayland и профили, когда есть юзеры, разные tty с разными X, Аноним (42), 18:04 , 04-Янв-26, (42)
Скрыто модератором, Аноним (51), 20:34 , 04-Янв-26, (51)

Дежурное напоминание во всех юниксах можно создавать пользователей и настратват, localhostadmin (ok), 11:00 , 04-Янв-26, (3) –6

Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail , Аноним (5), 11:44 , 04-Янв-26, (5) +1

И В нём нельзя создавать пользователей , Аноним (53), 23:12 , 04-Янв-26, (54)

дежурное напоминание можно запустить сразу несколько иксов под разными пользоват, Аноним (6), 11:45 , 04-Янв-26, (6)

нельзятолько вейленд, онанист (?), 13:53 , 04-Янв-26, (17) –1

Кто запретил , Аноним (22), 14:39 , 04-Янв-26, (23)

Давай проверим твою теорию на практике Итак, есть три пользователя user, app1 , Аноним (1), 11:51 , 04-Янв-26, (8) +2

а доступ к буферу обмена есть у всех я бы вообще не рассчитывал на изоляцию , penetrator (?), 18:11 , 04-Янв-26, (45)

ЧТД фанатики DAC снова не нашли, чем ответить, и быстренько слились Тем времен, Аноним (1), 19:01 , 04-Янв-26, (47)

а namespace-господа случайно эскалацию привелегий через вулн в изоляторе, или те, мяв (?), 23:43 , 04-Янв-26, (56) –1

Покажи мне хотя бы одну подсистему, в которой не было уязвимостей А так конечно, Аноним (1), 04:22 , 05-Янв-26, (57)

При запуске разных X на разных tty 8212 нет , Аноним (42), 19:49 , 04-Янв-26, (49)

1 Кто запретил запускать Иксы в самих юзерах на разных tty 2 Как На каталог , Аноним (42), 19:48 , 04-Янв-26, (48)
по-моему, то, что Вы описали на счет шины, делается через полкит там прям четко , мяв (?), 23:39 , 04-Янв-26, (55)

Привелегии цисгендерного белого угнетателя Типа захотел браузер 8212 залогин, bergentroll (ok), 12:31 , 04-Янв-26, (11) –1

Нет, между tty переключился через Ctrl Alt FX , Аноним (42), 18:06 , 04-Янв-26, (43)

Пользователи видят процессы друг друга by design Пользователи видят открытые сет, Аноним (16), 13:54 , 04-Янв-26, (19)

hidepid 1 или hidepid 2И ты не видишь чужих процессовДальше разбирать твою галим, Энтомолог_русолог (ok), 15:15 , 04-Янв-26, (24) +1

Разбери Причем во время разбора тебе надо учесть, для кого пилится система для, Аноним (1), 16:31 , 04-Янв-26, (30) +1
ничего, systemctl status мне их покажет, Аноним (31), 16:40 , 04-Янв-26, (31)

Это понятно А минусы будут Это на безопасность не влияет никак Добавь отдельны, Аноним (42), 18:09 , 04-Янв-26, (44)

Похоже на убийцу cagefs от cloudlinux , Аноним (4), 11:20 , 04-Янв-26, (4)
Привилегия 8212 это исключительное право или преимущество, предоставляемое ко, Аноним (7), 11:48 , 04-Янв-26, (7) –1
Скрыто модератором, Аноним (12), 12:46 , 04-Янв-26, (12) –7

Скрыто модератором, Аноним (9), 12:57 , 04-Янв-26, (13) +2
Скрыто модератором, онанист (?), 13:54 , 04-Янв-26, (18)

А есть профиль для MAX , Abyss777 (?), 12:58 , 04-Янв-26, (14)

Безопаснее хранить MAX отдельно от компьютера, в сейфе А сейф - в отделении МВД, Бюро Кратия (?), 14:00 , 04-Янв-26, (20) –2

Справку от священника забыл , Аноним (33), 16:47 , 04-Янв-26, (33)

там а самому сделать , Аноним (37), 16:55 , 04-Янв-26, (35)

С landlock воз и ныне там правила landlockа сами по себе, а не выводятся из пра, Аноним (29), 16:26 , 04-Янв-26, (27)
какой glibc конечно не надо писать как всегда, Аноним (37), 16:54 , 04-Янв-26, (34)
Объясните мне, зачем изолировать какой-то конкретный игровой движок Нет унивеср, Аноним (50), 20:31 , 04-Янв-26, (50)
А какие преимущества над bwrap и прочих аналогов И по ссылке куча какого-то текс, BrainFucker (ok), 21:47 , 04-Янв-26, (52)

Сообщения [Сортировка по времени | RSS]

1. "Релиз системы изоляции приложений Firejail 0.9.78" –4 +/–

Сообщение от Аноним (1), 04-Янв-26, 10:55

Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и более гранулярно. Можно даже задать, к каким именно системным/сессионным D-Bus-сервисам приложуха может иметь доступ (флатпак дает фильтрующий прокси). А еще файловая иерархия становится предсказуемее: для удаления вообще всех данных приложения, надо сделать `rm -rf ~/.var/app/$APP_ID`. И всё. Не надо бегать по темным уголкам хомяка, выискивая как-то следы приложухи по mtime и прочим хреням. Ну и божественный вяленый конечно. Флатпак + вяленый = железобетонная изоляция. Калькулятор не сможет заскриншотить твой экран и отправить скриншот китайцам. Ну и ключевое преимущество: именно разработчик занимается созданием "профилей" для своих приложух, а не какой-то сторонний вася, как в сабже.

Ответить | Правка | Наверх | Cообщить модератору

9. "Релиз системы изоляции приложений Firejail 0.9.78" +7 +/–

Сообщение от Аноним (9), 04-Янв-26, 11:52

Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений из состава дистрибутива. Ничего со стороны в систему не устанавливается.

Ответить | Правка | Наверх | Cообщить модератору

22. "Релиз системы изоляции приложений Firejail 0.9.78" –2 +/–

Сообщение от Аноним (22), 04-Янв-26, 14:37

А во фряхе третьи лица или кто делал такой же jail?
https://www.opennet.me/opennews/art.shtml?num=64550

Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором +/–

Сообщение от Аноним (53), 04-Янв-26, 22:57

Слово похожее увидел?

Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от penetrator (?), 04-Янв-26, 16:22

ты изолируешь приложения из состава дистрибутива, при этом используешь вторую часть дистрибутива, которой вдруг доверяешь для изоляции первой
не находишь это странным?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

41. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (9), 04-Янв-26, 17:58

Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы третьими. В идеале, в реале хотьи нежелательно, но могут эти лица и пересекаться. В случае же флэтпак это однозначно одни и те же лица. Вот это нахожу странным - доверять изоляцию приложений его же автору и сборщику.

Ответить | Правка | Наверх | Cообщить модератору

46. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от penetrator (?), 04-Янв-26, 18:17

> Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы
> третьими. В идеале, в реале хотьи нежелательно, но могут эти лица
> и пересекаться. В случае же флэтпак это однозначно одни и те
> же лица. Вот это нахожу странным - доверять изоляцию приложений его
> же автору и сборщику.
что-то тебя понесло,
ты доверяешь той половине которую не изолируешь, но не доверяешь той половине которую пытаешься изолировать, хотя нет никаких оснований доверять или не доверять той или иной половине разработчкиков
а если есть недоверие, то как минимум виртуалка

Ответить | Правка | Наверх | Cообщить модератору

10. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (10), 04-Янв-26, 11:55

Тут скорее аналоги https://github.com/igo95862/bubblejail или https://github.com/CauldronDevelopmentLLC/sandbubble

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (15), 04-Янв-26, 13:04

Разработчик трояна ограничивает доступ своего трояна к системе. Хитро, ничего не скажешь. Троянописатели в восторге от возможностей задать все права доступа.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (16), 04-Янв-26, 13:44

firejail и bubblewrap интегрируются с системным ПО.
flatpak навязывает свой репозиторий (нельзя перебиндить рут, и даже просто задать другой путь при бинде), который либо сопровождать самому, либо мириться, что софт в Flathub-е собирает кто попало и как попало.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

21. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (1), 04-Янв-26, 14:02

> firejail и bubblewrap интегрируются с системным ПО
Оба никак не интегрируются с системным ПО. Под "интегрироваться" имеем в виду, что .desktop-файлы должны изначально лежать где надо, и запускать механизм изоляции вместо оригинального приложения. А bwrap и вовсе низкоуровневая утилита, она ничего этого делать уметь не должна. А firejail подразумевает, что ты каким-то образом перебьешь системный .desktop-файл своим собственным. И смотри, не ошибись, а то при клике на иконку возможно запустишь оригинальный бинарь!
Во флатпаке же интеграция сделана по-правильному. Ты сразу получаешь правильный .desktop-файл, который невозможно запустить неверным образом. И правильную команду в $PATH, которая тоже заредиректит на флатпак.
> flatpak навязывает свой репозиторий
Это преимущество и недостаток одновременно. Лично для меня -- преимущество, потому что софт во флатпаке обычно свежее того, что приходит из дистра. В особенности хромиум с его частыми 0-day. А так, не все ли равно, откуда приходит софт? Во флатхабе хоть все манифесты ревьюятся сообществом со всех дистров одновременно.
> софт в Flathub-е собирает кто попало и как попало
Софт во флатпаке частенько собирают оригинальные разработчики софта, то есть апстрим.

Ответить | Правка | Наверх | Cообщить модератору

37. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (37), 04-Янв-26, 17:12

а как положить .desktop-файлы не туда куда надо? )))
если опасаешься собственной криворукости запуска "иконки",
то бери терминал и запускай firejail там.
чтобы не терзаться в сомнениях чем там пакет во флэтхабе,
собери себе appimage и запусти в firejail ))

Ответить | Правка | Наверх | Cообщить модератору

29. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (29), 04-Янв-26, 16:29

Ну тогда уже https://github.com/landlock-lsm/island , но надо на C++ переписать.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

36. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (37), 04-Янв-26, 17:06

сделай appimage и следы в хомяке исчезнут.
чтоб совсем не сомневаться, запусти систему
в режиме live ))
и да, appimage можно запускать в firejail,
как и самому писать профили

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

38. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (38), 04-Янв-26, 17:30

Сделай то, сделай сё... Согласись, звучит куда сложнее, чем "нажать кнопку Install -- и получаешь SOTA zero configuration изоляцию с безопасными дефолтами." И да, главной ЦА должны оставаться обычные пользователи, и должен покрываться такой распространенный случай, как "быстренько попробовать приложение, запустить, а затем удалить" -- в firejail вначале придется потратить час на конфигурирование этого дела, а во флатпаке это три клика: Install, Open, Uninstall.

Ответить | Правка | Наверх | Cообщить модератору

39. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (39), 04-Янв-26, 17:39

в безопасности нет решения -
"нажать кнопку "Чтоб стало ЗАЕ***Ь"
в большинстве случаев, чтобы тестового поставить пакет,
достаточно запустить систему в live
чуть сложнее - откат к предыдущему состоянию

Ответить | Правка | Наверх | Cообщить модератору

40. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (1), 04-Янв-26, 17:50

> в безопасности нет решения - "нажать кнопку "Чтоб стало ЗАЕ***Ь"
Решение есть, просто ты упорно его игнорируешь.
> достаточно запустить систему в live
Ребутнуться? Это даже хуже решения с "вводить пароль каждый раз при установке/удалении приложения", потому что установочный скрипт сделает useradd для DAC. (И все равно после этого приложуха сможет скриншотить чужое и иметь доступ к вообще всем пользовательским сервисам.)

Ответить | Правка | Наверх | Cообщить модератору

42. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (42), 04-Янв-26, 18:04

Зачем нужны flatpak, Wayland и профили, когда есть юзеры, разные tty с разными X-серверами и сборка с сорцов?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

51. Скрыто модератором +/–

Сообщение от Аноним (51), 04-Янв-26, 20:34

что такое "вяленый" ?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Релиз системы изоляции приложений Firejail 0.9.78" –6 +/–

Сообщение от localhostadmin (ok), 04-Янв-26, 11:00

Дежурное напоминание: во всех юниксах можно создавать пользователей и настратвать им привелегии. Пользуйтесь этой информацией как хотите

Ответить | Правка | Наверх | Cообщить модератору

5. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (5), 04-Янв-26, 11:44

Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail и аналоги.

Ответить | Правка | Наверх | Cообщить модератору

54. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (53), 04-Янв-26, 23:12

> Линукс не юникс
И? В нём нельзя создавать пользователей?

Ответить | Правка | Наверх | Cообщить модератору

6. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (6), 04-Янв-26, 11:45

дежурное напоминание:
можно запустить сразу несколько иксов под разными пользователями с настроенными привилегиями под разные задачи и переключаться между ними.
пользуйтесь этой информацией тоже как хотите.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

17. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от онанист (?), 04-Янв-26, 13:53

нельзя
только вейленд

Ответить | Правка | Наверх | Cообщить модератору

23. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (22), 04-Янв-26, 14:39

> нельзя
Кто запретил?

Ответить | Правка | Наверх | Cообщить модератору

8. "Релиз системы изоляции приложений Firejail 0.9.78" +2 +/–

Сообщение от Аноним (1), 04-Янв-26, 11:51

Давай проверим твою теорию на практике. Итак, есть три пользователя: user, app1 и app2. В этой системе user запускает иксовый сервер, и далее к нему коннектятся app1 и app2. ВНЕЗАПНО app1 может заскриншотить app2. Сработал твой DAC? Нет, не сработал. Нихрена ничего не разграничил.
Другой пример. Есть два пользователя: user и app1. user создает d-bus-сессию, а app1 к нему коннектится. Внезапно app1 имеет полный доступ ко всем d-bus-сервисам. Сработал твой DAC? Нет, не сработал. Ни в какой файл не напишешь, что "окей, app1 не имеет доступ ни к чему, кроме org.freedesktop.Notifications."
И вот так примерно со всем: шарить или не шарить network namespace, шарить или не шарить ipc namespace, давать или не давать ptrace и т. д. Никак ты это обычным DAC не разрулишь.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

45. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от penetrator (?), 04-Янв-26, 18:11

а доступ к буферу обмена есть у всех? )))
я бы вообще не рассчитывал на изоляцию между приложениями если ты не контролируешь их код, на крайний вариант VM, и то это неидеально

Ответить | Правка | Наверх | Cообщить модератору

47. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (1), 04-Янв-26, 19:01

ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак), и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа просто запустят за секунду podman run и получат дефолт, в котором приложение не видит вообще ничего, кроме uname ядра.

Ответить | Правка | Наверх | Cообщить модератору

56. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от мяв (?), 04-Янв-26, 23:43

а namespace-господа случайно эскалацию привелегий через вулн в изоляторе, или тем более uns не хотят ?
реальные господа причесывают ~~MAX~~ MAC.
их, правда, трудно так назвать ..

Ответить | Правка | Наверх | Cообщить модератору

57. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (1), 05-Янв-26, 04:22

Покажи мне хотя бы одну подсистему, в которой не было уязвимостей. А так конечно да: сидеть в пещере без компа безопаснее всего. В компах бывают уязвимости -- шок!

Ответить | Правка | Наверх | Cообщить модератору

49. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (42), 04-Янв-26, 19:49

> а доступ к буферу обмена есть у всех? )))
При запуске разных X на разных tty — нет.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

48. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (42), 04-Янв-26, 19:48

1. Кто запретил запускать Иксы в самих юзерах на разных tty?
2. Как? На каталог /run/user/<id_user> права всегда 0700.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

55. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от мяв (?), 04-Янв-26, 23:39

по-моему, то, что Вы описали на счет шины, делается через полкит.
там прям четко можно запретить/разрешить и выставить политику по умолчанию

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от bergentroll (ok), 04-Янв-26, 12:31

> во всех юниксах можно создавать пользователей и настратвать им привелегии
Привелегии цисгендерного белого угнетателя? Типа захотел браузер — залогинился от одного юзера, захотел калькулятор — от другого.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

43. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (42), 04-Янв-26, 18:06

Нет, между tty переключился через Ctrl+Alt+FX.

Ответить | Правка | Наверх | Cообщить модератору

19. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (16), 04-Янв-26, 13:54

Пользователи видят процессы друг друга by design.
Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default.
Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default.
Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит).
И т.д. и т.п.
Отдельный пользователь - это хорошо. Но совершенно недостаточно.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

24. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Энтомолог_русолог (ok), 04-Янв-26, 15:15

> Пользователи видят процессы друг друга by design.
hidepid=1 или hidepid=2
И ты не видишь чужих процессов
Дальше разбирать твою галиматью или уже хватит того, что ты начал со вранья?

Ответить | Правка | Наверх | Cообщить модератору

30. "Релиз системы изоляции приложений Firejail 0.9.78" +1 +/–

Сообщение от Аноним (1), 04-Янв-26, 16:31

Разбери. Причем во время разбора тебе надо учесть, для кого пилится система: для обычного пользователя, который кликает Install -- и сразу развернулась приложуха с zero configuration изоляцией. Без всяких стремных useradd. Ах да, забыл упомянуть -- поддержка иммутабельного readonly /etc также крайне желательна, так что хрен ты вызовешь useradd.

Ответить | Правка | Наверх | Cообщить модератору

31. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (31), 04-Янв-26, 16:40

> И ты не видишь чужих процессов
ничего, systemctl status мне их покажет

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

44. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (42), 04-Янв-26, 18:09

> Пользователи видят процессы друг друга by design.
Это понятно. А минусы будут? Это на безопасность не влияет никак.
> Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default.
Добавь отдельный адрес на лупбэк интерфейс и через {ip,nf}tables разреши трафику исходить на этот адрес только от одного юзера, который свои важные штуки будет биндить именно на этот адрес. Я так и делаю.
> Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default.
Но юзеры у нас у разных "окружений задач" разные.
> Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит).
Polkit и sudo в нормальных системах отсутствуют, а в su через, условно, PAM можно задать разрешение логиниться в рута только одному пользователю, либо вовсе не иметь "доверенного" пользователя для логина в рута, а логиниться в рута на отдельном tty.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

4. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (4), 04-Янв-26, 11:20

Похоже на убийцу cagefs от cloudlinux.

Ответить | Правка | Наверх | Cообщить модератору

7. "Релиз системы изоляции приложений Firejail 0.9.78" –1 +/–

Сообщение от Аноним (7), 04-Янв-26, 11:48

Привилегия — это исключительное право или преимущество, предоставляемое кому-либо в отличие от других. Например, это могут быть дворянские привилегии или особые права, которые отменяются в зависимости от обстоятельств. Привилегии могут использоваться как в разговорной речи, так и в профессиональных сферах.

Ответить | Правка | Наверх | Cообщить модератору

12. Скрыто модератором –7 +/–

Сообщение от Аноним (12), 04-Янв-26, 12:46

Всё это слишком сложно и не нужно. Оно и понятно, вместо пользования виндой десяточкой, линуксо_йды придумывают себе всякие прослойки и прослойки прослоек, для того, чтобы им казалось, что у них секурность максимальная!

Ответить | Правка | Наверх | Cообщить модератору

13. Скрыто модератором +2 +/–

Сообщение от Аноним (9), 04-Янв-26, 12:57

Изоляция приложений, запущенных одним пользователем , друг от друга под виндой? Интересует, продолжай.

Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором +/–

Сообщение от онанист (?), 04-Янв-26, 13:54

виндой десяточкой
3.11 - секурнее

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

14. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Abyss777 (?), 04-Янв-26, 12:58

А есть профиль для MAX?

Ответить | Правка | Наверх | Cообщить модератору

20. "Релиз системы изоляции приложений Firejail 0.9.78" –2 +/–

Сообщение от Бюро Кратия (?), 04-Янв-26, 14:00

Безопаснее хранить MAX отдельно от компьютера, в сейфе. А сейф - в отделении МВД, доступ к которому осуществляется строго по паспорту, СНИЛС и НДФЛ, в установленном законом режиме.

Ответить | Правка | Наверх | Cообщить модератору

33. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (33), 04-Янв-26, 16:47

Справку от священника забыл.

Ответить | Правка | Наверх | Cообщить модератору

35. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (37), 04-Янв-26, 16:55

там а самому сделать?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

27. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (29), 04-Янв-26, 16:26

С landlock воз и ныне там: правила landlockа сами по себе, а не выводятся из правил firejail.

Ответить | Правка | Наверх | Cообщить модератору

34. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (37), 04-Янв-26, 16:54

какой glibc конечно не надо писать..
как всегда

Ответить | Правка | Наверх | Cообщить модератору

50. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от Аноним (50), 04-Янв-26, 20:31

>профили изоляции для игровых движков
Объясните мне, зачем изолировать какой-то конкретный игровой движок? Нет унивесрального решения для изоляции, которое бы подходило для любого? Да и вообще зачем их изолировать? Просто спрашиваю, т.к. не особо разбираюсь в этом (да, я понимаю, что важно иметь возможность изолировать приложение от сети и прочего в целом). Спасибо заранее.

Ответить | Правка | Наверх | Cообщить модератору

52. "Релиз системы изоляции приложений Firejail 0.9.78" +/–

Сообщение от BrainFucker (ok), 04-Янв-26, 21:47

А какие преимущества над bwrap и прочих аналогов?
> firejail предельно прост в конфигурации
И по ссылке куча какого-то текста с множеством нюансов и предупреждений о потенциальных проблемах.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Релиз системы изоляции приложений Firejail 0.9.78"	–4 +/–
Сообщение от Аноним (1), 04-Янв-26, 10:55
Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и более гранулярно. Можно даже задать, к каким именно системным/сессионным D-Bus-сервисам приложуха может иметь доступ (флатпак дает фильтрующий прокси). А еще файловая иерархия становится предсказуемее: для удаления вообще всех данных приложения, надо сделать `rm -rf ~/.var/app/$APP_ID`. И всё. Не надо бегать по темным уголкам хомяка, выискивая как-то следы приложухи по mtime и прочим хреням. Ну и божественный вяленый конечно. Флатпак + вяленый = железобетонная изоляция. Калькулятор не сможет заскриншотить твой экран и отправить скриншот китайцам. Ну и ключевое преимущество: именно разработчик занимается созданием "профилей" для своих приложух, а не какой-то сторонний вася, как в сабже.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Релиз системы изоляции приложений Firejail 0.9.78"	+7 +/–
	Сообщение от Аноним (9), 04-Янв-26, 11:52
	Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений из состава дистрибутива. Ничего со стороны в систему не устанавливается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Релиз системы изоляции приложений Firejail 0.9.78"	–2 +/–
	Сообщение от Аноним (22), 04-Янв-26, 14:37
	А во фряхе третьи лица или кто делал такой же jail? https://www.opennet.me/opennews/art.shtml?num=64550
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. Скрыто модератором	+/–
	Сообщение от Аноним (53), 04-Янв-26, 22:57
	Слово похожее увидел?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Релиз системы изоляции приложений Firejail 0.9.78"	–1 +/–
	Сообщение от penetrator (?), 04-Янв-26, 16:22
	ты изолируешь приложения из состава дистрибутива, при этом используешь вторую часть дистрибутива, которой вдруг доверяешь для изоляции первой не находишь это странным?
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	41. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (9), 04-Янв-26, 17:58
	Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы третьими. В идеале, в реале хотьи нежелательно, но могут эти лица и пересекаться. В случае же флэтпак это однозначно одни и те же лица. Вот это нахожу странным - доверять изоляцию приложений его же автору и сборщику.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от penetrator (?), 04-Янв-26, 18:17
	> Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы > третьими. В идеале, в реале хотьи нежелательно, но могут эти лица > и пересекаться. В случае же флэтпак это однозначно одни и те > же лица. Вот это нахожу странным - доверять изоляцию приложений его > же автору и сборщику. что-то тебя понесло, ты доверяешь той половине которую не изолируешь, но не доверяешь той половине которую пытаешься изолировать, хотя нет никаких оснований доверять или не доверять той или иной половине разработчкиков а если есть недоверие, то как минимум виртуалка
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (10), 04-Янв-26, 11:55
	Тут скорее аналоги https://github.com/igo95862/bubblejail или https://github.com/CauldronDevelopmentLLC/sandbubble
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	15. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (15), 04-Янв-26, 13:04
	Разработчик трояна ограничивает доступ своего трояна к системе. Хитро, ничего не скажешь. Троянописатели в восторге от возможностей задать все права доступа.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	16. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (16), 04-Янв-26, 13:44
	firejail и bubblewrap интегрируются с системным ПО. flatpak навязывает свой репозиторий (нельзя перебиндить рут, и даже просто задать другой путь при бинде), который либо сопровождать самому, либо мириться, что софт в Flathub-е собирает кто попало и как попало.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	21. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (1), 04-Янв-26, 14:02
	> firejail и bubblewrap интегрируются с системным ПО Оба никак не интегрируются с системным ПО. Под "интегрироваться" имеем в виду, что .desktop-файлы должны изначально лежать где надо, и запускать механизм изоляции вместо оригинального приложения. А bwrap и вовсе низкоуровневая утилита, она ничего этого делать уметь не должна. А firejail подразумевает, что ты каким-то образом перебьешь системный .desktop-файл своим собственным. И смотри, не ошибись, а то при клике на иконку возможно запустишь оригинальный бинарь! Во флатпаке же интеграция сделана по-правильному. Ты сразу получаешь правильный .desktop-файл, который невозможно запустить неверным образом. И правильную команду в $PATH, которая тоже заредиректит на флатпак. > flatpak навязывает свой репозиторий Это преимущество и недостаток одновременно. Лично для меня -- преимущество, потому что софт во флатпаке обычно свежее того, что приходит из дистра. В особенности хромиум с его частыми 0-day. А так, не все ли равно, откуда приходит софт? Во флатхабе хоть все манифесты ревьюятся сообществом со всех дистров одновременно. > софт в Flathub-е собирает кто попало и как попало Софт во флатпаке частенько собирают оригинальные разработчики софта, то есть апстрим.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (37), 04-Янв-26, 17:12
	а как положить .desktop-файлы не туда куда надо? ))) если опасаешься собственной криворукости запуска "иконки", то бери терминал и запускай firejail там. чтобы не терзаться в сомнениях чем там пакет во флэтхабе, собери себе appimage и запусти в firejail ))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (29), 04-Янв-26, 16:29
	Ну тогда уже https://github.com/landlock-lsm/island , но надо на C++ переписать.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	36. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (37), 04-Янв-26, 17:06
	сделай appimage и следы в хомяке исчезнут. чтоб совсем не сомневаться, запусти систему в режиме live )) и да, appimage можно запускать в firejail, как и самому писать профили
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	38. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (38), 04-Янв-26, 17:30
	Сделай то, сделай сё... Согласись, звучит куда сложнее, чем "нажать кнопку Install -- и получаешь SOTA zero configuration изоляцию с безопасными дефолтами." И да, главной ЦА должны оставаться обычные пользователи, и должен покрываться такой распространенный случай, как "быстренько попробовать приложение, запустить, а затем удалить" -- в firejail вначале придется потратить час на конфигурирование этого дела, а во флатпаке это три клика: Install, Open, Uninstall.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (39), 04-Янв-26, 17:39
	в безопасности нет решения - "нажать кнопку "Чтоб стало ЗАЕ***Ь" в большинстве случаев, чтобы тестового поставить пакет, достаточно запустить систему в live чуть сложнее - откат к предыдущему состоянию
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (1), 04-Янв-26, 17:50
	> в безопасности нет решения - "нажать кнопку "Чтоб стало ЗАЕ***Ь" Решение есть, просто ты упорно его игнорируешь. > достаточно запустить систему в live Ребутнуться? Это даже хуже решения с "вводить пароль каждый раз при установке/удалении приложения", потому что установочный скрипт сделает useradd для DAC. (И все равно после этого приложуха сможет скриншотить чужое и иметь доступ к вообще всем пользовательским сервисам.)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (42), 04-Янв-26, 18:04
	Зачем нужны flatpak, Wayland и профили, когда есть юзеры, разные tty с разными X-серверами и сборка с сорцов?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	51. Скрыто модератором	+/–
	Сообщение от Аноним (51), 04-Янв-26, 20:34
	что такое "вяленый" ?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Релиз системы изоляции приложений Firejail 0.9.78"	–6 +/–
Сообщение от localhostadmin (ok), 04-Янв-26, 11:00
Дежурное напоминание: во всех юниксах можно создавать пользователей и настратвать им привелегии. Пользуйтесь этой информацией как хотите
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Релиз системы изоляции приложений Firejail 0.9.78"	+1 +/–
	Сообщение от Аноним (5), 04-Янв-26, 11:44
	Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail и аналоги.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (53), 04-Янв-26, 23:12
	> Линукс не юникс И? В нём нельзя создавать пользователей?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (6), 04-Янв-26, 11:45
	дежурное напоминание: можно запустить сразу несколько иксов под разными пользователями с настроенными привилегиями под разные задачи и переключаться между ними. пользуйтесь этой информацией тоже как хотите.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	17. "Релиз системы изоляции приложений Firejail 0.9.78"	–1 +/–
	Сообщение от онанист (?), 04-Янв-26, 13:53
	нельзя только вейленд
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (22), 04-Янв-26, 14:39
	> нельзя Кто запретил?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Релиз системы изоляции приложений Firejail 0.9.78"	+2 +/–
	Сообщение от Аноним (1), 04-Янв-26, 11:51
	Давай проверим твою теорию на практике. Итак, есть три пользователя: user, app1 и app2. В этой системе user запускает иксовый сервер, и далее к нему коннектятся app1 и app2. ВНЕЗАПНО app1 может заскриншотить app2. Сработал твой DAC? Нет, не сработал. Нихрена ничего не разграничил. Другой пример. Есть два пользователя: user и app1. user создает d-bus-сессию, а app1 к нему коннектится. Внезапно app1 имеет полный доступ ко всем d-bus-сервисам. Сработал твой DAC? Нет, не сработал. Ни в какой файл не напишешь, что "окей, app1 не имеет доступ ни к чему, кроме org.freedesktop.Notifications." И вот так примерно со всем: шарить или не шарить network namespace, шарить или не шарить ipc namespace, давать или не давать ptrace и т. д. Никак ты это обычным DAC не разрулишь.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	45. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от penetrator (?), 04-Янв-26, 18:11
	а доступ к буферу обмена есть у всех? ))) я бы вообще не рассчитывал на изоляцию между приложениями если ты не контролируешь их код, на крайний вариант VM, и то это неидеально
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (1), 04-Янв-26, 19:01
	ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак), и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа просто запустят за секунду podman run и получат дефолт, в котором приложение не видит вообще ничего, кроме uname ядра.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Релиз системы изоляции приложений Firejail 0.9.78"	–1 +/–
	Сообщение от мяв (?), 04-Янв-26, 23:43
	а namespace-господа случайно эскалацию привелегий через вулн в изоляторе, или тем более uns не хотят ? реальные господа причесывают ~~MAX~~ MAC. их, правда, трудно так назвать ..
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Релиз системы изоляции приложений Firejail 0.9.78"	+/–
	Сообщение от Аноним (1), 05-Янв-26, 04:22
	Покажи мне хотя бы одну подсистему, в которой не было уязвимостей. А так конечно да: сидеть в пещере без компа безопаснее всего. В компах бывают уязвимости -- шок!
	Ответить \| Правка \| Наверх \| Cообщить модератору