На случай рецидива: http://arhivach.org/thread/139593/
>из которого в отличие от chroot нельзя убежать
Как можно убежать из правильного chroot?
Бамп годноте. Куда лучше всего завернуть скайп?
Если ты рут - 1001 способ.
И чо? Если васяноподелие хочет работать под рутом, что будешь делать?
Не буду ставить такое васяноподелие. Ебанутый что ли?
Устанавливаешь прыщеокружение с нужными ему зависимостями и запускаешь при помощи какого-нибудь LXC. Пульс можно прикрутить к пульсу на хосте через сеть, а вместо иксов заюзать Xvnc внутри контейнера или Xephyr/Xwayland снаружи.
>So long as a program is run with root (ie UID 0) privilages it can be used to break out of a chroot()ed area.
Сразу видно ньюфага. Ну да ладно, у тебя всё впереди.
Пиздец какой-то. X же прозрачный протокол. PSH-PSH-audio тоже чтоль?
Как видим, маньки с мифами о дырявом chroot ничего нового не изобрели. Так что обосрался - обтекай.
> X же прозрачный протокол.
Оп-пост читал? Пустив приложение в свои иксы, ты позволишь ему захватывать экран и ввод.
> PSH-PSH-audio тоже чтоль?
Слышал, что скайп без него больше не работает.
Пульс держит кучу протоколов для передачи звука по сети, в т.ч. есть свой (module-native-protocol-tcp).
Хуясе, ты прямо мой фанат.
Вообще, годный тред. Бампану.
У Контейнеров есть сетевая дырка. Т.к. при создании дефолтных сетевых интерфейсов все контейнеры имеют доступ к локальной сети (к сетевым папкам, к роутуру, к домашним сетевым устройствам (принтеры, телевизоры, файлсерверы)) и к компу (ip) хоста.
Нужно iptables настраивать ...
Дырка уровня /b/. А завтра ты узнаешь, что в большинстве дистров по умолчанию -P INPUT ACCEPT.
>
>Реализации прыщеконтейнеров:
>— OpenVZ:
>— LXC;
>— Docker:
>— systemd-nspawn:
Ещё есть : Firejail, Rkt, Runc.
Но ОП не предупредил об этом. А это очень опасная дырка.
В виртуальных компьютерах (qemu, virtualbox, vmware) такая же дыра.
Ну да, возможно, и стоит добавить. Но в целом ОП-пост годный, ящетаю.
>к роутуру
Некоторые юзеры не ставят сложный пароль или используют дефолтный. Ужас-ужас!
>Пустив приложение в свои иксы, ты позволишь ему захватывать экран и ввод.
Если в контейнер сеть не пущена, тоне похрен ли, что оно прочитает с экрана и с ввода? Стучать-то некуда.
В линуксы не завезли фаерволы? Нафиг эти контейнеры?
Завернул в виртуалку, всё нормально, всё работает. Думаю для максимальной защиты ещё можно использовать coreos, в которой контейнер с apparmor, который уже запускает скайп.
>при создании дефолтных сетевых интерфейсов все контейнеры имеют доступ к локальной сети
Чтоблять? Каких ещё дефолтных сетевых интерфейсов?
Контейнеры позволяют:
— использовать сеть хоста: при этом контейнеру доступно создание любых сокетов на имеющихся сетевых интерфейсах;
— создавать для связи виртуальный сетевой интерфейс: при этом по умолчанию он никуда не роутится и не бриджится;
— вообще не включать поддержку сети, при этом контейнеру достуен только интерфейс 127.0.0.1, отдельный от хоста.
А вот что роутить в локальную сеть с телевизорами, а что не роутить — это вопрос к администратору. Если голова и руки есть, то всё можно сделать нормально.
>создавать для связи виртуальный сетевой интерфейс: при этом по умолчанию он никуда не роутится и не бриджится
Няш, а поясни, в каких ситуациях нужно.
Защиты от чего?
Может проще выключить интернет?
> Контейнер — это как chroot
Дальше не читал.
Алсо, тебя забанят.
Предпочитаю покупать телевизоры без SmartTV и вешать на них Raspberry Pi.
> Если в контейнер сеть не пущена
Был задан вопрос о запуске скайпа. На кой тебе скайп без сети?
> Завернул в виртуалку
На которую потратил 10ГБ места, гиг оперативки и полчаса на установку щиндовса. Нахуй так жить?
Я бы по дефолту так делал. Получается примерно как сеть в виртуальной машине, которую ты сам можешь отроутить или забриджить куда тебе удобно.
Можно запилить специальную локальную сеть для всякого говна, из которой роутинга к принтерам, самбе и прочему непотребству нет, и бриджить в неё контейнеры с мокрыми письками.
>> Если в контейнер сеть не пущена, тоне похрен ли, что оно прочитает с экрана и с ввода? Стучать-то некуда.
> X.org allows applications to exclusively grab keyboard and mouse input. If such applications misbehave you are left with a system you cannot manage, you cannot even switch to text terminals.
> http://itvision.altervista.org/why.linux.is.not.ready.for.the.desktop.current.html
Перевожу: любая иксовая программа может залочить на себя клаву и мышь.
> X.org architecture is inherently insecure - even if you run a desktop GUI application under a different user in your desktop session, e.g. using sudo and xhost, then that "foreign" application can grab any input events and also make screenshots of the entire screen.
> http://itvision.altervista.org/why.linux.is.not.ready.for.the.desktop.current.html
Перевожу: иксовая прога может делать скриншоты всего окна. в котором могут быть секретные проги.
> !! X.org is not multithreaded. Certain applications running intensive graphical operations can easily freeze your desktop (a simple easily reproducible example: run Adobe Photoshop 7.0 under Wine, open a big enough image and apply a sophisticated filter - see your graphical session die completely until Photoshop finishes its operation).
Перевожу: иксовая прога может вызвать зависание всего икс-сервера интенсивными графическими операциями.
Вывод. Нужен отдельный икс-сервер, но насколько он безопасен ?
Мне кажется в идеале конечно лучше использовать виртуальный икссервер типа Xvfb/Xephyr который запускается внутри контейнера. И через VNC получать доступ к нему.
>потратил 10Гб места
1.5Гб для xp
>гиг оперативки
2016 на дворе, я свои 6 не забиваю никогда
>полчаса на установку
Ещё со времен форточек у меня лежит минимально-кастомный исошник с тихой становкой. Виртуализация скайпоговна тоже воплне себе выход.
>>при создании дефолтных сетевых интерфейсов все контейнеры имеют доступ к локальной сети
>Чтоблять? Каких ещё дефолтных сетевых интерфейсов?
>
>Контейнеры позволяют:
>— использовать сеть хоста: при этом контейнеру доступно создание любых сокетов на имеющихся сетевых интерфейсах;
Именно это я имел в виду.
Да признаю что по дефолту в lxc нет сетевых интерфейсом. Нужно ручками в конфиг вписывать.
Но lxc не контролирует доступ к локалку и это есть большая дыра о которой никто не говорит.
>— вообще не включать поддержку сети, при этом контейнеру достуен только интерфейс 127.0.0.1, отдельный от хоста.
А этот вариант, с точки зрения приложений в контейнере, ничем не отличается от выдернутого из системника кабеля? sudo unshare -n мешает приложению видеть запущенный локально RLM License server, гасить-поднимать подключение лень.
>
>Защиты от чего?
Государственная слежка в целях заботы о самом народе.
Или государство имеет тебя. Или ты государство.
>10ГБ места, и полчаса на установку щиндовса.
Снова ССД-даун закукарекал. У нормальных людей терабайнтые диски и им похуй на твои кукареки.
У меня например есть сохранённая виртуалка с установленной виндой. Когда мне нужна новая виртуалка. Я просто копирую и тутже получаю виртуалку с виндой.
> гиг оперативки
Неиспользованная память виртуалки свапится. В реальной ситуации даже если ты выделишь виртуалке несколько гигов, то будет использоваться пара сотен и не более того. Всё зависит от количества програм запущенных в виртуалке.
Хм, а если завернуть в такой контейнер Скайп и поставить на сервере, можно ли создать API, который через иксы будет читать и писать сообщения инстанции? Определяя заголовки окон и содержимое? Тогда можно из этого соорудить XMPP мост и чатиться со скайпоконтактами из опен сорсных мессенджеров.
>
>Неиспользованная память виртуалки свапится.
А во первых виртуалка не использует память если она не была использована . В том же диспетчере задач хорошо видно. Что при старте виртуалки использованная память нарастает постепенно по мере запуска програм внутри виртуалки.
А дальше если эта память хоть и была выделена, но не использовалась, то она свапится хостом.
>любая иксовая программа может залочить на себя клаву и мышь.
Неприятно, да.
>иксовая прога может вызвать зависание всего икс-сервера интенсивными графическими операциями.
Особенно актуально для приложений под Вайном.
>иксовая прога может делать скриншоты всего окна. в котором могут быть секретные проги.
И фапать на них. Интернетов в контейнере нет, сливать скриншоты некуда.
Даже если так, то это на порядок больше ресурсов, чем нужно в случае с контейнером. Ну и на порядок большее время запуска и остановки.
> Но lxc не контролирует доступ к локалку и это есть большая дыра о которой никто не говорит.
Запятые ставить научись, из-за их отсутствия у тебя какая-то каша в голове.
Если ты не умеешь настраивать сеть, то и с изоляцией контейнеров не справишься.
С точки зрения приложения это не выдернутый кабель, а отсутствие сетевухи.
> У нормальных людей терабайнтые диски и им похуй на твои кукареки.
Пердолик, ты забыл время, которое нужно для забивания этих 10ГБ кучей мелких файлов. Ну и для передачи их по сети или бэкапа.
> В реальной ситуации даже если ты выделишь виртуалке несколько гигов, то будет использоваться пара сотен и не более того. Всё зависит от количества програм запущенных в виртуалке.
Здесь ты забыл про сперму, которая любит занимать чуть ли не всю ей предоставленную оперативку.
>2009
Боюсь скайп с протоколом той версии уже не сможет нормально работать, придется все переделывать. Тогда сообщения еще напрямую доставлялись, а не через зондированный сервер.
>
>Здесь ты забыл про сперму, которая любит занимать чуть ли не всю ей предоставленную оперативку.
Линукс в виртуалке ведёт себя абсолютно аналогично. Т.к. линукс и виндовс используют всю свободную память как файловый кеш.
>С точки зрения приложения это не выдернутый кабель, а отсутствие сетевухи.
Судя по тому, что приложение замечео в сливе куда не просили mac-адреса сетевухи - таки второй вариант, с виртуальным интерфейсом, который никуда не подключен, более актуален. Может заподозрить наёбку, если сети воообще не увидит. Спасибо.
Теоретически такое возможно: читать можно из логов (если они у скайпа есть), а писать через xdotool.
Но речь о контейнерах, в них кэш общий с хостом.
>Если ты не умеешь настраивать сеть, то и с изоляцией контейнеров не справишься.
Я умею использовать iptables.
Но новички линуксоиды не знают об сетевой дыре контейнеров, виртуалок.
Так что "большая дыра о которой никто не говорит" существует и очень опасна.
Дыра из разряда «выйдя на улицу, можно попасть под машину».
Проблема в замалчивании. ОП не написал. На сайте линукс-контейнера это не написано. А проблема серьёзная.
К тому же домашняя локалка это не интернет. Но предоставлении доступа к ней чревато серьёзными проблемами безопасности.
Я счёл это очевидным.
И проблема тут не столько в утекании из контейнеров в локальные сети, сколько в неграмотно построенных сетях — с дырявыми роутерами/принтерами без паролей и прочими фокусами.
>И проблема тут не столько в утекании из контейнеров в локальные сети, сколько в неграмотно построенных сетях — с дырявыми роутерами/принтерами без паролей и прочими фокусами.
Мне кажется у тебя ошибочное представление о безопасности. Нужно больше дефолтных ограничений.
Контейнер должен обеспечивать ограничение трафика в домашнюю локалку. Ведь контейнер это средство виртуализации (скрытия). А контейнер этого не делает. И даже не намекает.
Мне кажется по дефолту контейнер при наличии сетевого интерфейса должен резать весь трафик. А в конфиге должна была бы быть настройка что одной опцией можно разрешить трафик в локалку (192.x.x.x), другой опцией доступ к dns роутера, другой опцией доступ к внешке, другой опцией доступ к локалке провайдера (10.x.x.x) и т.д..
По мне так это дыра.
> Контейнер должен обеспечивать ограничение трафика в домашнюю локалку.
Контейнер вообще не должен заниматься фильтрацией трафика и роутингом, это не его задача.
> Мне кажется по дефолту контейнер при наличии сетевого интерфейса должен резать весь трафик.
При создании контейнера с отдельной виртуальной сетевухой так и происходит: сетевуха никуда не подключена.
> А в конфиге должна была бы быть настройка что одной опцией можно разрешить трафик в локалку (192.x.x.x), другой опцией доступ к dns роутера, другой опцией доступ к внешке, другой опцией доступ к локалке провайдера (10.x.x.x) и т.д..
Контейнер — не фаервол, а комбайны не нужны. А ещё приведённая тобой адресация не соответствует моей, например.
> По мне так это дыра.
Дыра — это когда в голове пусто. Задачи контейнера не ограничиваются запуском мокрописечного говна: напротив, это довольно редкий случай их применения. Чаще они используются на веб-хостингах для разграничения доступа, а там никакую локалку огораживать не нужно.
>Контейнер — не фаервол, а комбайны не нужны
LXC-контейнер уже является комбайном. Например в него встроили поддержку apparmor-профилей. Встроили лимитирование cgroups. Можно и правила фаервола встроить.
>установки софта со большим набором зависимостей, который не хочется ставить в основную систему
Почему искаропки так не сделано, чтобы каждая программа сидела в своем манямирке и не связывала систему кучей зависимостей?
Это не ответ
потому что не рационально и не секьюрно
Пеpдoля, ты 24/7 тут копротивляешься?
То есть ты предлагаешь дублировать одинаковые зависимости в каждый из мирков? Это идиотизм. Да и тут еще гора тонкостей, изучай матчасть.
Ты действительно сказал глупость, не стоит ждать чего-то конструктивного в ответ.
> покупать телевизоры без SmartTV
Телевизоров без смарттв не бывает.
Но дано очевидно, что к телевизору нужно ставить коди на пасивном интеле.
Поставил такой к ТВ и получил безграничные возможности, десяток терабайт сетевой помойки, роутер с вайфаем, нормальный звук и прочее. Поддержка HDMI-CEC обеспечивает управление с того же пульта что и тв.
> Например в него встроили поддержку apparmor-профилей.
Это логично и несложно.
> Встроили лимитирование cgroups.
Все контейнеры, за исключением древнего OpenVZ, работают на основе cgroups.
> Можно и правила фаервола встроить.
В отличие от разграничения доступа на уровне ФС и подсистем ядра, LXC не занимается огранизацией работы сети, это делается внешними по отношению к нему средствами. Соответственно, и настройка фаервола в его функционал не вписывается.
> Телевизоров без смарттв не бывает.
https://market.yandex.ru/catalog/59601/list?hid=90639&gfilter=2141002946:exclude
> Но дано очевидно, что к телевизору нужно ставить коди на пасивном интеле.
Неэффективно и громоздко. Гроб mini itx на стенку за телевизор не очень засунешь, в отличие от RPi 2 B+.
> Поставил такой к ТВ и получил безграничные возможности, десяток терабайт сетевой помойки, роутер с вайфаем, нормальный звук и прочее.
У меня примерно такой на антресоли стоит. Но ставить жужжащий винчестерами и кулером бп ящик в жилую комнату я бы не стал. Нахуй нужен роутер, который надо отключать на ночь?
> Поддержка HDMI-CEC обеспечивает управление с того же пульта что и тв.
Если на пульте есть не задействованные в режиме HDMI кнопки, то их можно прикрутить к RPi через инфракрасный датчик на GPIO и без CEC.
Мне хватает. Если нужно больше — оно есть:
https://market.yandex.ru/catalog/59601/list?hid=90639&gfilter=2141002946%3Aexclude&gfilter=2142557762%3A-1519271021%2C-126828849
Правда, RPi придётся заменить на что-то с более мощным DSP на GPU.
>из своей спермокучи вовсе порвался и применил ban+delall, в чём потом признался
Так это же злоупотребление мочеркой.
Вам мочу нравится хлебать или макаке просто похуй на это?
>Дальше не читал.
Обосновывай давай. В чём принципиальные отличия?
Я "как" не увидел прочитал "Контейнер — это chroot".
Тем не менее, стоило бы упомянуть о cgroups и отдельной иерархии процессов, что и является главным отличием от chroot.
1)Можно ли в контейнер поставить Steam и играть в мои игори оттуда? Я не хочу засирать систему легаси-либами. Если можно, то как и будет ли потеря производительности?
2)Аналогичный вопрос с Adobe Photoshop в WINE, который загружен в контейнер.
3)Какие контейнеры выбрать для дома? Docker/LXC или ещё что?
2)Аналогичный вопрос с Adobe Photoshop в WINE, который загружен в контейнер.
3)Какие контейнеры выбрать для дома? Docker/LXC или ещё что?
>
>Почему искаропки так не сделано, чтобы каждая программа сидела в своем манямирке и не связывала систему кучей зависимостей?
Потомучто раньше диски были маленькие. Это щас терабайтники.
В маках как раз пакет программы содержит в себе все зависимости.
А линуксоиды в массе ленивые уёбки которые просто как попугаи повторяют дистрибутивных майнтейнеров. Если в их дистрибутив не завезли какуюто возможность, то эти линукс-дауны будут бесконца кричать "НЕНУЖНО!"
. Линуксуёбки пользующиеся линуксами с репозитариями являются ленивым говном и полностью полагаются на майнтейнеров собирающих репозитарий. Хорошо это видно на сайте лора. Где все эти придурки собираются. НУ и здесь на сосаче полно таких дегенератов.
> Можно ли в контейнер поставить Steam и играть в мои игори оттуда?
Можно, но запуск графических программ несколько сложнее, особенно с OpenGL на проприетарных драйверах.
> Я не хочу засирать систему легаси-либами.
Их совсем немного. Стим всё равно держит набор либ от убунты 12.04 у тебя в хомяке.
> будет ли потеря производительности?
Ничтожно маленькая.
> Adobe Photoshop в WINE, который загружен в контейнер
Бессмысленно, wine сам по себе песочница. Параноики могут убрать привязки за пределы префикса.
> Какие контейнеры выбрать для дома?
LXC.
>огранизацией работы сети, это делается внешними по отношению к нему средствами. Соответственно, и настройка фаервола в его функционал не вписывается.
>
Я тебя удивлю. Но фаервол линукса встроен в ядро.
>жужжащий винчестерами
Кактам в 2000-ом году ? Всё трещит, звенит, жужжит ?
>кулером бп
В современных БП кулеры большие и работают на маленьких оборотах и поэтому не слышны. Я имею в виду нормальные БП а не самые дешёвые с плохими кулерами. Но даже в этом случае кулер можно поменять на тихую модель.
>Нахуй нужен роутер, который надо отключать на ночь?
Нахуя его отключать ?
>wine сам по себе песочница.
Идиот. Wine предоставляют полный доступ к всей файловой системе доступной текущему юзеру.
Поэтому Wine нужно запускать в отдельном юзере.
> признался (>>1571124).
Есть скрин поста? А то удалён уже.
> Steam
Хватит chroot. Чтобы изолировать файловую систему. Изолировать сеть не нужно.
> Wine
Хватит отдельного юзера.
>из которого в отличие от chroot нельзя убежать.
Можно, если ядро дырявое, не обновлял. https://www.linux.org.ru/news/security/12267820
Жесть.
ОП, докер это же не реализация контейнера, а просто хуйня для удобного использования lxc. Олсо, click пакеты в убунте тоже сорт контейнеров
Братушки, где найти готовые билды докероконтейнеров? Интересует стим и огнелис
> click пакеты в убунте тоже сорт контейнеров
Можно подробнее?
Поддвачну реквест.
Closed by Dave Reisner (falconindy) Monday, 29 June 2015, 20:52 GMT Reason for closing: Won't implement Additional comments about closing: The situation is not significantly different from when this bug was originally closed. There are still multiple vulnerabilities every month and upstream is still not providing a way to enable this at runtime via a sysctl flag. Arch is not going to carry an out-of-tree patch to add the sysctl flag like other distributions, so I don't think it makes sense to leave this issue open. The feature is not going to be ready for years.
>The feature is not going to be ready for years.
>The feature is not going to be ready for years.
https://bugs.archlinux.org/task/36969
/thread
>The feature is not going to be ready for years.
>The feature is not going to be ready for years.
https://bugs.archlinux.org/task/36969
/thread
>> Wine
>Хватит отдельного юзера.
Кул стори, бро.
> убрать привязки за пределы префикса
Переведи для нубов.
А что, не хватит? Чем ты titlebar так скрыл?
Все диски, кроме C:, и папки пользователя.
Да, технически, выйти за пределы префикса всё ещё будет возможно, вне рамок стандартного WinAPI и программа должна быть рассчитана на работу под вайном.
> Winefile will still navigate from '/', but trying to open anything outside of your new Z: drive will result in 'File Not Found." This trick only works if a malware developer isn't anticipating this.
>> убрать привязки за пределы префикса
Ты их вручную уберёшь, но они потом сами потом могут автоматически снова создаться. Сам несколько раз наблюдал такое поведение Wine.
После чего решил не полагаться на конфиг Wine.
Насколько я знаю, их создаёт winetricks, которому нужен доступ в ~/.cache/winetricks, а не сам вайн.
Долбонутые админы арча.
>winetricks
У меня без Winetricks они создавались.
> ОНО САМО
> wine сам по себе песочница
Охуенная песочница:
start /unix /usr/bin/xterm
> Параноики могут убрать привязки за пределы префикса.
Какого ещё префикса?
И привязки дисков можно ставить обратно изнутри вайна через реестр.
Пиздос, откуда такие долбоёбы берутся? «Параноики», блять. Предложил хуергу, которая вообще во всех местах дырявая, и описывает для параноиков способ убедить себя в её надёжности.
Как видишь, не хватит. Там хостнейм.
Рассказывай, как сделал.
Это просто долбоёб не хочет обтекать. Такое сообщение выводится при отсутствии указанного бинария.
Apparmor
> Такое сообщение выводится при отсутствии указанного бинария
Необязательно. Оно же будет, например, если нет флага исполняемого.
https://2ch.hk/d/res/302939.html#303972
>Пишите абу в вк, в мов модератора так выгнали ссаными тряпками.
А есть что-то подобное, но под Шиндоус? С виртуалкой слишком много ебли получается.
Нет. В такое умеют только UNIX и UNIX-like ос. Можешь портировать. Код открытый.
Обновись до 8.1. Там hyper-v ИСКАРОПКИ, ебли меньше становится.
>8.1
Зонды жать будут же.
>
>А есть что-то подобное, но под Шиндоус?
В Windows Server 2016 есть поддержка контейнеров Docker.
https://www.docker.com/microsoft
https://msdn.microsoft.com/en-us/virtualization/windowscontainers/quick_start/manage_docker
>Нет. В такое умеют только UNIX и UNIX-like ос.
не пизди.
>Steam
>Chroot
А ещё, это говно от рута пускать надо там, кекус максимус.
Почему?
> от рута пускать надо
Если от рута то тогда нужно юзать lxc/docker и user namespaces чтобы обмануть стим.
А через nspawn neeqaque?
>nspawn
Не знал о нём, не пользовался. У меня нет systemd.
А его можно поставить и без системд как системы инициализации.
https://wiki.archlinux.org/index.php/Init#systemd-nspawn
Я спрашивал про Steam тут, а это правда? Почему бы просто не создать внутри chroot'a юзера и пускать стим из-под него? Должно же работать, если я правильно понимаю что чрут это фактически минимальная ось на диске.
Я тут прочитал статью, в которой упоминался какой-то экзотический линух, в котором установка программ не размазывается говнозависимостями по всей системе, а напоминает мак и ведро, забыл как называется. Видимо, этот линух так и останется экзотикой, т.к. правила устанавливают дебилы с классическим устаревшим методом, хуй знает к чему я это написал.
>какой-то
Пошёл нахуй!
> гляди, лейтенант, тут Прыщан Пердольевич старушечьи сраки смотрит, гыыы
Ох уж эти чсвшные пердодегенераты.
Ты педофил?
>systemd-nspawn is a tool for systemd systems.
>Since Linux 2.6.19 it is however possible to run systemd on a non-systemd system by using PID namespace. For it, the kernel needs to be configured with CONFIG_PID_NS and CONFIG_NAMESPACES).
>The PID namespace creates a new hierarchy of processes starting with PID 1. In addition to this, systemd requires a chrooted root filesystem to be mounted. Hence, you have to at least make a bind mount, because otherwise some services will fail with
Петухи, в петушиный тред бегом марш. Ах да, он же утонул. Но вообще все правильно - вы же опущенцы, вот и сидите возле параши.
>> установка программ не размазывается говнозависимостями по всей системе, а напоминает мак и ведро,
>GoboLinux
нихуя
пиздуй в /po/
Может быть, sta.li? У них своё мнение о FHS
Что за звери? Можно поподробнее?
>— LXC;
Для запуска Debian в контейнере lxc можно использовать debootstrap https://wiki.debian.org/ru/Debootstrap .
Вначале в виртуалке с дебианом с помощью debootstrap скачиваешь минидебиан в папку. Его копируешь в контейнер lxc. Получаешь готовый мини-дебиан в lxc.
Так можно делать с любой реализацией контейнеров, и не только. Я вообще предпочитаю ставить debian этим способом, а не тыкать инсталлятор: получается быстрее и именно то, что мне нужно.
А как же эти галочки в инсталляторе? Локаль там, все дела.
>Я вообще предпочитаю ставить debian этим способом
Так это же будет доступно только через контейнер в рамках какой-то другой системы, или я чего-то недопонял?
> и не только
И с чем ещё так можно сделать?
Тред унижения спермоблядей. Подписался.
Не знаю, о чём ты. В винде есть докер в сервере 2016, который technical preview
Хуйня же.
Это почему? Там какой-то докер неполноценный, или что?
В винде все неполноценно е.
Ты скозал? Давай обосновывай, чем реализация докера в винде ущербна.
Лол:
> The Docker VM is lightweight Linux virtual machine made specifically to run the Docker daemon on Windows.
Это не контейнер, а виртуальная машина с прыщеконтейнерами.
>
>А как же эти галочки в инсталляторе? Локаль там, все дела.
Конфиги править в /etc ?
>
>Вначале в виртуалке с дебианом с помощью debootstrap скачиваешь минидебиан в папку
Или в реальном дебиане. Если ты в нём сидишь.
> Или в реальном дебиане.
Почему только в debian'е? debootstrap можно запустить из почти любой прыщесистемы.
Олсо, я недавно пошёл дальше и, отказавшись даже от debootstrap (почему-то он не позволяет устанавливать только целевой пакет с зависимостями, обязательно тянет минимальную систему), нарутил контейнер с debian путём распаковки deb-пакетов. Правда, чтобы привести в порядок бд dpkg, пришлось изрядно поебаться.
Да с чем угодно — с реальными и виртуальными машинами, chroot'ом для телефона, етц.
И запускать только через контейнер другой системы? Но ведь это не установка. Это нечто среднее между установкой в виртуалку и установкой на диск. То есть дистрибутив так сменить нельзя, или можно?
> И запускать только через контейнер другой системы?
Почему? Можно установить туда ядро (и загрузчик, если нужно) и запускать реальную или виртуальную машину.
> Но ведь это не установка. Это нечто среднее между установкой в виртуалку и установкой на диск.
Что за хуйню я прочитал? Gentoo и Arch официально ставятся подобным способом.
> То есть дистрибутив так сменить нельзя, или можно?
Можно. Ставь на отдельный раздел (или subvolume btrfs), загружай, после чего сноси старый.
Странные вопросы какие-то. Т.к. доступны низкоуровневые инструменты, возможности жонглировать прыщесистемами ограничиваются только фантазией админа.
Нет ты обасрался. Ты утверждал здесь что память только винда съедает всю память. А на самом деле и линукс тоже .
>Можно установить туда ядро (и загрузчик, если нужно) и запускать реальную или виртуальную машину.
Как ты загрузишься в папку линукс-контейнера ?
rootflags=subvol=xxx, например. Ещё можно делать контейнер на отдельном разделе. Ещё можно поправить скрипты в initramfs, чтобы chroot при запуске init делался не в корень раздела, а в указанный каталог. Как угодно.
Нет, ты. Только со спермой тебе придётся использовать виртуальную машину с неэффективным распределением памяти, тогда как под прыщами можно взять легковесный контейнер. Разницу объяснять?
>Здесь ты забыл про сперму, которая любит занимать чуть ли не всю ей предоставленную оперативку.
Ну ты мудак. Ты написал про винду. Ты оказался не прав.
А теперь пытаешься перевести разговор про контейнеры.
ТУпой-тупой красноглазик.
> Т.к. линукс и виндовс используют всю свободную память как файловый кеш.
Раз ты обасрался, так признай хотя бы это. Будь профессиональным. А не быдлом.
И что, оно может звонить? У меня в виртуалбоксе запускается, но при попытке позвонить падает. Гостевые дополнения ставил полностью.
Работает и звонит, главное если usb-устройства к пеке подключены, добавить один usb-канал, а то виртуалка ругнется ошибкой out of channel, а винда рухнет в синяк. Камера определяется, как nec cd, лол, но работает. От себя советую ставить на kvm. Интерфейс работает без тормозов, если что.
sta.li? Gobolinux?
>добавить один usb-канал
Не совсем тебя понял.
> Ты оказался не прав.
Придурок, в каком месте? Когда вообще начал отвечать на безграмотный бред ?
> Ты написал про винду.
Её ты сюда притащил, в тред про контейнеры. И начал кукарекать про то, что похуй на несколько гигов занятой оперативки (), поскольку они всё равно уедут в своп и там останутся.
Я бы насрал на голову тому, кто посоветовал бы мне сделать что-то подобное на десктопе, потому как любой значительный своппинг приводит к тормозам. В своп уедет скорее не только виртуалка с ворочающейся там спермой, но и половина браузера и прочих запущенных приложений, из-за чего они начнут тормозить. Если ты привык к тормозам и считаешь их нормой работы, то это лишь твоё залитое спермой представление о прекрасном, разделять которое я не намерен. Я держу своп исключительно как подушку безопасности для тех случаев, когда по каким-то внезапным причинам кончается оперативка.
Норма для контейнеров — вообще отсутствие лишнего потребления оперативки. Она расходуется исключительно на запуск приложения, будь это 2МБ на шелл или 2ГБ на браузер с 50 вкладками.
> А теперь пытаешься перевести разговор про контейнеры.
Уёбок, это тред про контейнеры. Не нравится — съеби.
> Ты утверждал здесь что память только винда съедает всю память.
Неверно. Там написано, что в случае со спермой тебе придётся делать виртуальную машину с несколькими ГБ оперативки, которые будут бесполезно сожраны, в отличие от сабжа треда. То, что ты это не понял, а вместо этого наплёл наполовину из отсебятины свою интерпретацию — твои проблемы.
Ну ты сука мразь. Вначале сам сказал хуйню. Я тебе указал на твою ошибку. Теперь отнекивается.
>В своп уедет скорее не только виртуалка с ворочающейся там спермой, но и половина браузера и прочих запущенных приложений, из-за чего они начнут тормозить
Мудак браузер не уедет в свап, т.к. его память используется.
Вобщем я понял что ты пидаразка, обычная религиозная линуксоидная мразь. Именно религиозный линуксоид. Не здоровый объективный линуксоид, а религиозный линуксоид, больной фанатик. И естественно что ты будешь врать о винде, но также защищая свой святой линукс будешь врать о линуксе. Больной человек.
>Вначале сам сказал хуйню.
Я не говорил хуйни ни в начале, ни в конце. Ты говорил хуйню всю дорогу.
> Мудак браузер не уедет в свап, т.к. его память используется.
Браузер, в отличие от тебя, не мудак. И потому в процессе работы не ворочает открытыми фоновыми вкладками, из-за чего они в своп уходят со свистом.
Кроме того, от исчерпания оперативки очищается дисковый кэш, что приводит к дополнительным тормозам.
> Вобщем я понял что ты пидаразка, обычная религиозная линуксоидная мразь. Именно религиозный линуксоид. Не здоровый объективный линуксоид, а религиозный линуксоид, больной фанатик. И естественно что ты будешь врать о винде, но также защищая свой святой линукс будешь врать о линуксе. Больной человек.
Спермача понесло. Сказал же, не нравится тред о контейнерах — уёбывай. Вместе со своей любовью к своппингу с тормозами.
>Разницу объяснять?
Я всё-таки это распишу, мб кому-то будет интересно. На всякий случай без привязки к ОС.
При запуске программ в контейнере оперативная память выделяется точно также, как и при запуске программ вне контейнера — используется тот же аллокатор того же ядра, тот же дисковый кэш и т.д. При исчерпании свободной оперативки дисковый кэш сокращается, а при освобождении — может вырасти обратно, вне зависимости от того, причина этого была вне или внутри контейнера.
В случае с виртуальной машиной оперативная память жёстко делится при её запуске и не может быть перераспределена в процессе работы. При этом используется два дисковых кэша — на хосте и в виртуалке, которые частично дублируют работу друг друга и не освобождаются по требованию хоста в виртуалке и наоборот. Вырос процесс в виртуалке — в ней начинается своппинг, не смотря на свободную память на хосте. Вырос процесс на хосте — хост лезет в своп, т.к. не уполномочен очищать дисковый кэш в виртуалке.
Ситуацию теоретически может улучшить паравиртуализация, в т.ч. т.н. virtio balloon driver, позволяющий динамически выделять память виртуальной машине, но практика от автоматического решения указанных выше проблем пока далека. Когда-то были подвижки (http://www.linux-kvm.org/page/Projects/auto-ballooning ), но воз и ныне там, в апстрим патчи не приняты.
Ну и, конечно, не стоит забывать про то, что в виртуальной машине нужно запускать полноценную ОС. Если в прыщах для этого может быть достаточно 64мб, то в случае со спермой и гигабайта маловато, начинается своппинг, надо два.
То есть можно с их помощью устанавливать крякнутые нативные игры с торрентов, не опасаясь за сохранность системы и данных?
Хуясе у вас тут костры полыхают.
Да.
>гигабайта маловато, начинается своппинг, надо два.
Толсто.
XP отжирает около 100 мегабайт в простое.
А 3.11 — вообще 4мб, и без свопа.
Повторюсь: если хочешь чтобы программы работали, а не тормозили, то нужно выделять память так, чтобы свопа вообще не было.
Не толсто, а реальный опыт установки win2012 server «x64». На гигабайте она еле ворочалась.
Не думаю, что потребление ресурсов десктопными версиями щиндовса отличается в разы.
>Не думаю, что потребление ресурсов десктопными версиями щиндовса отличается в разы.
Ну ты мудило. Тебе пишут про няшную маленькую виниксписо 100 мегабайтами. А он про свой сраный никому не нужный Win2012-server. Долбоёб.
>Повторюсь: если хочешь чтобы программы работали, а не тормозили, то нужно выделять память так, чтобы свопа вообще не было.
Ты уёбок. Большинству программ нахуй не нужны эти твои гигабайты.
Спермокретин, съеби уже отсюда со своей протухшей некроспермой, поддержка которой давным давно дропнута и под которую даже утилиты для настройки игровых мышей (единственное, для чего мне в последние годы была нужна виртуалка с пендой) не выпускают.
> А он про свой сраный никому не нужный Win2012-server.
Нет, я про windows 3.11 for workgroups. Уёбывай.
> Большинству программ нахуй не нужны эти твои гигабайты.
И дисковый кэш тоже нахуй не нужен, да. И похуй, что меню пуск в твоей сперме будет открываться по 5 секунд, если не теребить его постоянно. Я тебя хорошо понял, ты не нужен. Иди корми своим сладким хлебом посетителей других тредов, а здесь не мешайся под ногами.
ТРЕД НЕ ЧИТАЙ@ВОПРРСЫ ЗАДАВАЙ
Можно ли в контейнер на linux поставить windows/osx/небо/аллаха? Или только линуксе?
Можно ли в контейнер на linux поставить windows/osx/небо/аллаха? Или только линуксе?
Контейнер — это лишь средство изоляции группы процессов от остальных процессов и ресурсов хоста. Это не виртуальная машина, в нём нет отдельного ядра ОС.
Если хочешь контейнеры с поддержкой нескольких ОС, то бери freebsd jail, фря умеет запускать ещё бинарии от linux и solaris. Но поддержка щиндовса и там есть только в виде вайна, а поддержки osx нет совсем.
> — установки софта, требующего отличного от имеющегося в дистрибутиве набора библиотек;
Это просто чудо какое-то! Я зашёл сюда как-раз за этим! Я вот уже неделю плачу на двачах о том, что не могу установить bomi в мою ламповую ubuntu потому что с последним обновлением проебались все зависимости, и либо выпиливать пол системы либо отказаться от обновлений вообще, чтобы пользоваться этим божественным вином.
И вот в 6:34 утра, я подумал: "Бля, а по чему бы не спросить, можно ли на линупсе запилить изолированную среду чтобы она содержала все необходимые библиотеки для работы конкретного приложения", и скролля софтач в поисках вопрос-ответ треда я, О ЧУДО, наткнулся на этот тред.
Пока ещё его не прочитал, но на радостях заочно спрошу, как я могу запилить мой ламповый bomi в мою ламповую пердоколяску если из репа через apt-get вариантов нет, ибо зависимости проёбаны а форсированная установка bomi наёбывает какой-то метапакет после которого система после dist-upgrade делает харакири и выпиливает 50% того, что делает из ядра десктоп.
> При запуске зондоговна с GUI следует иметь в виду, что в X11 разграничение доступа реализовано чуть менее чем никак, и для изоляции надо использовать либо отдельный X-сервер, либо Wayland.
blyaaaaaaaaa
Берёшь debootstrap, накатываешь в отдельный каталог тот релиз убунты, где оно работает, запускаешь из него контейнер с прокинутыми иксами и накатываешь в нём твою хрень.
Для иксов нужно прокинуть как минимум переменную $DISPLAY, ключ $XAUTHORITY и сокет /tmp/.X11-unix, для аппаратного ускорения — ещё /dev/dri, для звука через альзу — /dev/snd, через пульс — $HOME/.pulse_socket. См. https://www.stgraber.org/2014/02/09/lxc-1-0-gui-in-containers/
Сложно запустить какой-нибудь Xephyr?
>И похуй, что меню пуск в твоей сперме будет открываться по 5 секунд, если не теребить его постоянно.
Долбоёб. Влажные мечты красноглазика.
> поддержка которой давным давно дропнута
Похуй. Если запускать одну программу, то на апдейты похуй.
Спермопетух, ты чего забыл в этом треде? Лети давай отсюда.
Ты по существу отвечай. Если ты пишешь хуйню про винду, то я и буду корректировать твою тупость.
Написал тебе за щеку, проверяй.
Прекрати разговаривать со спермачом, он невменяем.
>потому что с последним обновлением проебались все зависимости,
Это нихуя не норма, слезай с 15.10 на 14.04
Ну боми не зондогавно. Другое дело что там ffmpeg есть. А значит надо изолировать в контейнер.
Накидайте видеоуроков (ютуб) как эти контейнеры делать. Для нубов. К примеру как запустить нативную игру в контейнере. Например для дебиана.
Так я ставил 15.10 потому что мне показалось что зависимости из последующих релизов и нужен новый софт.
Сейчас откатился до 14.04.3 systemback'ом и пока живу нормально, но без bomi.
Звучит сложновато для колясочника. Что же, меня ждёт увлекательное на самом деле нет путешествие по манам и гайдам всего этого. Что скажешь за счёт docker? Вроде бы образ уже накатил, bomi туда поставил, осталось вывести видео и звук. Или твой метод будет работать лучше?
firejail steam
Анон, тупые вопросы по джейлам во фрибзд. Суть:
Есть один домашний сервер под FreeNAS, на нём уже поднята файлопомойка по SFTP, нужно поднять Emby, почтовый сервер(iredmail), и торрентокачалку. В гайде к айредмейлу говорят о том что его нужно ставить на чистую систему. Являются ли джейлы "чистымы" и независимыми от основной системы как chroot? Могу ли я просто поднять джейл под каждую утилиту с условием что они будут полностью разграничены и независимы, но будут иметь общий доступ к HDD(т.е торрентокачалка например качает кинцо в n-ую папку на диске, а emby впиливает это кинцо в свою библиотеку и при этом они работают в двух разных джейлах)?
> как chroot
>Jails build upon the chroot(2) concept,
> https://www.freebsd.org/doc/handbook/jails.html
Т.е они будут независимы, но смогут работать с одним ЖД?
Да.
> Для иксов нужно прокинуть как минимум переменную $DISPLAY, ключ $XAUTHORIT
Не надо. Достаточно запускать приложение вот так: ssh -X container softina
Пишу этот пост из браузера, запущенного внутри контейнера.
>-X
Иксы содержат дырки безопасности. Иксы нужно тоже изолировать.
> ssh -X
Тормоза, отсутствие аппаратного ускорения графики.
> Иксы нужно тоже изолировать.
Здесь стоит разделить назначение контейнера:
— запуск заслуживающего доверия софта, который по какой-то причине оказался немовместим с хост-системой;
— запуск не заслуживающего доверия софта или предоставление доступа к управлению контейнером извне (что в какой-то степени одно и то же).
В первом случае изоляция иксов не нужна.
>Тормоза, отсутствие аппаратного ускорения графики.
Так как запускать-то тогда?
> Тормоза, отсутствие аппаратного ускорения графики.
Никаких тормозов. Аппаратное ускорения графики браузера? Это интеренесно.
А то.
about:support открой.
Открыл, и чего?
GPU Accelerated Windows
Ну вот, а у некоторых работает.
У тех, у кого это вообще поддерживается видеокарточкой и кто умеет готовить.
Мне говорили, в линуксах это вообще не работает.
А еще они про ПРОБЛЕМЫ С ЗАВИСИМОСТЯМИ говорят, про отсутствие драйверов и пердолинг. GET THE FUCKS жи.
А зачем изолировать иксы для контейнера, в котором нет сети? Ну прочитет оно что-то не то через дырки в иксах. А стучать-то некуда. Недоверенное приложение, которому нужна сеть - это, разве что, Шкайпик и, для параноиков, Стим.
> это, разве что, Шкайпик и, для параноиков, Стим.
А еще -- это браузер.
Профиль угрозы опиши. Чтение /home через свежую уязвимость? Или просто хочешь отдельный бразуер с дырявым флешем в контейнере?
Что правда, то правда.
С зависимостями проблема была один раз за полгода, решилась аптитудой с -f или какой-то там ещё опцией, дров хороших у меня нет на радивона старенького, не тянет разрешение монитора, а пердолинг у меня через день. Тупой, скучный.
Да, чтение home со всеми секретными ключами (ssh, gpg) и тому подобное, плюс возможность раскрытия реального IP (трафик контейнера идет через VPN) или там установление личности по браузер-фингерпринтингу и всякие анальные гугловские жучки-паучки.
Да, я у мамы немножко параноик.
> чтение ... ssh, gpg
Если хранишь ключи, не защищённые парольной фразой — ССЗБ.
Ssh незащищенные, да. Не для того использую авторизацию по ключу, чтоб каждый раз набивать пароль.
А зачем каждый раз? Один раз после логина на свой комп.
Админ локалхоста, ты? У меня несколько десятков серверов с разными ключами, если чо.
>
>А зачем изолировать иксы для контейнера, в котором нет сети
ну ладно, уговорил.
> несколько десятков серверов с разными ключами
И чё? Открой уже для себя ssh-agent и какой-нибудь ksshaskpass.
бамп
Ну дырок в Иксах на запись вроде неизвестно же? А на чтение - ну прочитает оно, а дальше?
Хмм... использую котейнеры для установки софта на работе на нодах, брат жив, проблемы зависимостей решаются идеально (как и переезд с ноды на ноду), centos - вообще няшка, ставится всё с полпинка. Но никогда бы не подумал, что прыщебляди додумаются использовать контейнеры для установки пользовательского софта дома. Может быть вам стоит попробовать использовать операционную систему Windows 10 вместо прыщей для двачевания капчи? Прыщи не могут в ГУЙ и пользовательскую юзабилити, прыщи не могут в драйвера, прыщи не могут в игры, наконец. Если вы прыщезависимые, поставьте на винду MINGW (если вы - программист, просто поставьте Git, ведь один хуй вы будете использовать Git), там будет MINGW. Далее, если вы сильно прыщезависимый, поставьте какой-нибудь centos minimal на виртуалку, замонтируйте папки через vboxsf и пробросьте 22-й порт. Далее, на винде запускаем git-shell, пишем ssh <username>@127.0.0.1 и получаем полноценную прыщеконсоль. В самих прыщах можно уже ставить докеры и тому подобное, можно иметь несколько версий прыщей, можно снимать снапшоты на случай, если прыщи ебанутся. У вас будут полноценные прыщи с консолью, на которых можно работать + няшная винда со всеми её скайпами, играми, ютубами и отсутсвием проблем с блядскими иксами. И да, не ставьте на винду прыщесофт (ну кроме гита и может быть емакса), вот тот же докер не стоит ставить напрямую на нормальные операционные системы (винду или OS X). На западе даже уборщицы работабют в перчатках. Вот и с прыщами стоит работать "в перчатках", т.е. развернув их на виртуалке под укравлением винды, а не ставя их в dualboot на вашем лючном компьютере.
>Может быть вам стоит попробовать использовать операционную систему ПитухОС Дрисять
Нет, спасибо.
а вот одному куну нужна была пизда. Он в больнице заставил пересадить себе на полужопие пизду.
Спросили его, зачем ему пизда на попе?
>ПитухОС
Пердoля, ты о чём вообще, поехавший?
Пердoля, ты опять сам с собой разговариваешь?
>БАБАХ
Лол.
Пердoля боевыми реверс-картиночками лопнул.
НАЙС.
Доброе утро, Пeрдоля! Тебя из палаты поперефорсить выпустили?
>ВРЁТИ ПИРИФОРС
Ну что же ты, Пердoля?
Пердoля, ты зачем сам с собой разговариваешь?
>Прыщи не могут в ГУЙ и пользовательскую юзабилити
Ну тащемта в чём-то он прав. Без консольки всё таки никак.
Вот смотри, я помянул centos minimal. Почему? Потому что загружается быстро, ну и пакеты там легко устанавливать. Можно, конечно, поставить ебунту, или сусе ентерпрайз какой-нибудь, там будет закос под ГУЙ, но по юзабилити он будет просирать даже windows 95, не говоря уж про божественную макось или десятку (лично мне десятка больше нравится, хотя это дело вкуса). И вот вопрос - нахуя рвать себе жопу, пытаясь собрать прыщавый гуй, гарантированно получая геморрой уже на этапе установки видеодрайверов, если есть операционные системы, которые могут в ГУЙ из коробки? Линукс нужен для работы, для запуска всяких сервисов, закос под ГУЙ там хуёвый и особо никому не нужен. Зато консолька там что надо. Поэтому под виндой можно держать целый зоопарк рабочих линуксов, будут няшные окошечки, в которых будут жить линуксы.
Танкист, ты?
>системы, которые могут в ГУЙ из коробки?
Дохуя дистров имеют няшный DE искаропки, в чем проблема?
>(Linux: Firefox based)
Ке-ке-ке, а если бы ты был Linux: Chromium based, тебе бы пришлось отключать ручками аппаратное ускорение в этом самом хроме по крайней мере на nvidia, чтобы иксы не висли. А подкдючить к прыщам 3 монитора, когда у тебя 2 видяхи - это вообще целое приключение. Ну и нахуй мне дома OS, которая виснет из коробки и требует пляски с бубном тупо чтобы работать? Не, идите куда подальше с прыщавым гуем, гуй есть в windows 10, ну и вроде как в макоси, а прыщи - это такая ось для серверных нод, её надо ставить на нодах, либо на компе для разработки в виртуалках, чтобы убедится, что твои программы будут работать на этих самых нодах.
>но по юзабилити он будет просирать даже windows 95
Это какой-то непробиваемый манямир. Ты из тех утят, которые на слабые машины вместо линукса со свежим софтом ставят некрохрюшку с некрософтом, ибо ПРИВЫЧНО?
>Дохуя дистров имеют няшный DE искаропки
Хоть один назови. Я уже в течение 10 лет ставлю себе какой-нибудь гуёвый линупс чисто чтобы посмотреть, что они там сделали в новой версии. И каждый раз ответ один - нихуя. Как будто недоделанный windows 95, так и не могут сдвинутся с этого уровня. Да и при чем тут дистры, если прыщавые гуи - это поделия вроде гнома, кде или xfce? Ну соберут их в новом дистре, но как дистр повлияет на изначальную убогость этих поделий?
>Как будто недоделанный windows 95
Вот это самовнушение.
Ты предлагаешь бросаться из одной крайности в другую. Линух может и не лучший выбор для казуального десктопа (я подчёркиваю - именно для казуального, т.е. для среднестатистического васяна; прыщеблядей же, к которым я отношусь, всегда будут душить анальные ограничения винды и невозможность тонкой настройки)
Но дриснятка - это блядь вообще за гранью добра и зла. По охуительности она сравнима с вистой.
Мораль - ставьте семерку (или сервер 2008) и не ебите мозг. Появится в линейке окон ось лучше - буду советовать её, а пока - только 7.
>поделия вроде гнома, кде или xfce
Петух, когда там в сперме хотя бы подобие рабочих столов запилили?
Минт cimnamon поставь и не пизди. Красота и эргономичность этого окружения оставляет шинду (и вообще всё на свете) далеко в жопе.
Лично я кончил от одной интеграции banshee со значком звука в трее, блядь как же это охуенно сделано.
В винде или в макоси покажи мне такое.
Еще один танкопетух слился, наааайс.
Ну назови хоть один прыщавый гуй, который тянет хотя бы на win 95 по юзабилити. Я знаю кде, гном и xfce. Может быть какой-то секретный есть?
Для меня мак закончился после того, как я понял, что для раскрытия окна мне надо жмякать в какую-то микроскопическую кнопочку вместо даблклика по заголовку окна. Тем не менее я знаю много макоёбов, которые утверждают, что в макоси гуй удобный. Ты прав, я диван, я на маке не сидел, и пока не собираюсь. Но хуже прыщей сложно что-то придумать в плане GUI, а макаёбы говорят, что макось - это прыщи done right, плюс им дохуя народу пользуются, которые к красноглазию склонности не имеют, отсюда полагаю, что в макоси гуй удобнее.
Говноеды много чего говорят. Ты вот тоже говноед и прославляешь тут спермоговно, в котором гуй по сравнению с любым DE вообще как из прошлого века. Не говоря уж о макопараше.
покунькал на этого сперманю
поперхнулся от манямира этой спермозной хуесоски
По делу, значит, нечего ответить?
>Ты предлагаешь бросаться из одной крайности в другую.
Ты ебанутый. Я писал, что в виндовсе есть гуй. И он хороший. А консолька в виндовзе - убогая. Ну вроде есть PowerShell и вроде он не хуже линуксовых поделий, но фишка в том, что пока люди доходят до PowerShell, они уже знают Bash, в итоге нахуй изучать еще и PowerShell при том, что ты уже знаешь Bash? Поэтому я и советую винду в качестве основной операционной системы (для десктопа) и mingw для консольки.
>Мораль - ставьте семерку (или сервер 2008) и не ебите мозг.
В чем скрытый смысл сидеть на оси, которую скоро снимут с поддержки?
Мне не нужно "подобие рабочих столов", мне нужен удобный гуй. В прыщях его нет.
>кококо нинужно
Обоссан. Рабочие столы - это самый минимум, нужный для удобного гуя. Впрочем, кому я это рассказываю? Дебилу, у которого два приложения - браузер и танчики?
>Поэтому я и советую винду в качестве основной операционной системы (для десктопа) и mingw для консольки.
лол, присунул за щеку этому гению советов
Речь идёт об одном приложении, либо о системе?
Прыщебляди должны быть последовательным. Сначала надо освоить установку драйверов видеокарт, ведь без этого картанку хуй выведешь. Потом можно поговорить о качестве картинки. Потом о том, что на этой картинке нарисовано и какие она подразумевает интерактивные действия мышкой. Вот ГУЙ где-то на этом уровне находится, как прыщебляди до него доберутся, я им разъясню, что в их гуйне не так. Но, к сожалению, они за 10 лет даже первый уронень не преодолели, поэтому ГУИ в прыщах не будет, скорее всего.
>маняманевры
Обоссан еще раз.
пердоли-убунтодебилы должны страдать.
GNU/Linux-боги все делают в один чих и все у них заебись
походу ты прост или тупой, или реальный инвалид с ДЦП
>Дебилу, у которого два приложения - браузер и танчики?
Ну да. Более того, браузер у меня на работе, а танчики - дома. И таких дебилов - 98%. Поэтому линупс сосёт. Линуксовый гуй предельно оторван от реальных потребностей большинства населения.
То есть ты сейчас расписался в том, что ты говно и быдло с недозадачами типичного обоссаного потреблядка. Так хуле ты тогда свой клюв разеваешь и пытаешься тут рассуждать о каких-то материях? Пиздуй обратно в танчики, пообщайся там с братьями по разуму.
тебе же обесняли, что линукс для какеров, питуххос шиндовс - для быдла.
И какого хуя ты вообще рот открываешь с своим быдлядским манямиром, какие-то утверждения высираешь? Сидел бы под шконкой и играл себе танчики. А когда оттуда раздаются кукареканья об ОС и как их должно юзать, это просто делает смешно быть.
> centos - вообще няшка, ставится всё с полпинка.
Сколько она оперативки требует для работы пакетного менеджера? Гигабайт?
> Прыщи не могут в ГУЙ и пользовательскую юзабилити
Хуита, см. ниже. Фич GUI, где сперма сосёт у прыщей с X11, на порядок больше. А у тебя просто синдром утёнка.
> прыщи не могут в драйвера
Все драйвера на моё железо есть, да и не только на моё, а вообще на большинство железа. Причём некоторые (например, свободный видеодрайвер radeonsi) значительно лучше мокрописечных аналогов по нагрузке на проц и оперативку и времени отклика.
> прыщи не могут в игры, наконец.
Прыщи могут запускать практически все игры для PC, за единичными исключениями.
> предлагает ставить сперму на хост
И терпеть обновления с малварью, их установку при перезагрузке длительностью до получаса, неудобную установку софта с необходимостью его искать по помойкам с вирусами, отсутствие нормальной поддержк RAID (при выходе из строя первого винта из пары RAID1 нужно грузиться со специального сервисного диска и делать ребилд, ололо). Нахуй так жить?
> nvidia
> чтобы иксы не висли
Нехуй было устанавливать мокрописечные дрова. Мокрописечные поделия почти всегда кривые и глючные.
На свободных дровах иксы обычно работают месяцами без повисаний и падений.
> Я писал, что в виндовсе есть гуй. И он хороший.
Говно полное же. Не может в масштабирование шрифтов без их вылезания за пределы виждетов, например.
Те же иксы, которые проектировались в 80-х, могут в изменение DPI дисплеев без этой хуйни. А к сперме с появлением HiDPI прикрутили зум с размыливанием, ололо.
Управление окнами тоже убогое донельзя, годящееся только для запуска трёх программ максимум. Где группировка окон? Где автоматическое расставление окон в пределах группы по выбранной сетке и возможность переключаться между группами? Где возможность настройки действий мыши — например, как сделать закрытые окон средним кликом по таскбару? Почему нельзя перетаскивать и масштабировать окна без того, чтобы прицелиться мышью в их заголовок/границы?
По юзабилити управления окнами сперма сосёт даже у примитивного dwm (http://dwm.suckless.org/ ), не говоря уже о фичастых и расширяемых тайловых wm вроде awesome.
> и получаем полноценную прыщеконсоль.
А сколько оно жрать будет ты подумал?
Пердoль, ты чего такой дерзкий сегодня? Опять на уколы не ходил?
Нехуй тут на спермотанкиста выёбываться. Место под шконкой давно тобой занято.
> получаем полноценную прыщеконсоль
Putty.
>прыщавые гуи - это поделия вроде гнома, кде или xfce?
Было в линуксе хорошее гуи это KDE3. Но долбонутые прыщики выкинули его. Теперь пилят kde4. Но собираются и его скоро выкинуть. И там бесконца ... Ничего доделать и использовать не могут.
О твоей матери блядь, хуле ты дурачка-то включаешь?
Ссыканул и тебе в рот, и в рот спермотанкиста.
Этот петух недостаточно дерзок.
арч в контейнер БЕЗ СОЗДАНИЯ РАЗДЕЛА Аноним (Ubuntu Linux: Firefox based) 31/01/16 Вск 00:17:32 #266 №1598496
Поясните нубу, как поставить генту или арч в контейнер, не выделяя для них раздела. На арчевики про это нет, в хендбуке и подавно.
man systemd-nspawn:
> EXAMPLE 3
> # pacstrap -c -d ~/arch-tree/ base
> # systemd-nspawn -bD ~/arch-tree/
Для ссанины вместо pacstrap просто распакуй стаж.
У меня апстарт. Как я понимаю, придётся ещё поебаться с его установкой.
А для генты какой алгоритм действий? Такой же?
>с его установкой.
В смысле systemd-nspawn'а.
Тебе вот прямо именно контейнер? Чому не хочешь виртуалку?
Хочу возможность полноценно играться с арчем/гентой, и потенциально — даже бутаться в них.
> У меня апстарт. Как я понимаю, придётся ещё поебаться с его установкой.
Тогда поставь какой-нибудь lxc и пользуйся им. Там ещё проще — в комплекте есть набор темплэйтов для установки с помощью lxc-create разных дистров, включая arch и gentoo.
А systemd-nspawn требует systemd в качестве init'а хоста, так что не взлетит.
> А для генты какой алгоритм действий? Такой же?
Написано же:
> Для ссанины вместо pacstrap просто распакуй стаж.
Ололо, эти темплейты версий из состава debian jessie не работают: арч требует pacman в системе, а ссанина криво берёт ссылку на стаж из latest-stage3-amd64.txt — видимо, там раньше не было ра
А ещё оно не может в имена контейнеров с пробелами, и почему-то даже не говорит об этом. Нахуй так жить?
И как быть в таком случае?
Действительно, нахуй?
Спокойствие, пути есть всегда. Пришлось ещё симлинкнуть /var/cache/lxc на другой раздел, т.к. туда не влез портеж.
Спасибо, взял на карандаш.
Опять фэйл: оказывается, контейнеры нельзя называть русскими буквами. Но он преодолён, и контейнер успешно запущен.
Правда, почему-то он висит так уже минуту, лол.
Майор, зайти к вам в отдел, поговорить, накатить?
Короче, хрен его знает, почему оно не грузится до логина, но шелл при этом оно даёт.
ты тот питух с виртуалкой?
Сам такой. Это железяка, причём активно используемая.
,бггг, я прост проверил. ты тот, который конпелировал гентукоторый весьма чоткий риальнi пасан
Я в другом смысле. Заходи как-нибудь, конечно :3
А почему ссанина-то?
Спермотанкист, ты? Гляжу, прочитал про контейнеры и решил показать свою ЭРРУДИЦИЮ, а все равно несешь несусветную хуйню.
Няшные окошечки у него, я ебал.
> когда у тебя 2 видяхи - это вообще целое приключение.
Та ты чо. Маленький танкист не осилил xrandr?
> Я писал, что в виндовсе есть гуй. И он хороший.
Да вы посмотрите на этого мудака! Врет и не краснеет.
> Линуксовый гуй предельно оторван от реальных потребностей большинства населения.
И это хорошо! Ебал я в рот пользоваться системой, рассчитанной, в первую очередь, на таких ползателей.
Иди нахуй. Спермотанкист охуенен.
Он с Dеемой принёс на эту парашу хоть какое-то разнообразие.
И вообще, хули ты проснулся? Пиздуй досыпать.
>И вообще, хули ты проснулся? Пиздуй досыпать.
Да я и так уже 11 часов проспал, мне норм.
Двочую, гуй НИНУЖЕН. Нет нечего прекраснее на свете, чем постоянное содомирование себя консолью в срачло.
Гуй гую рознь, мой маленький прыщавый друх. Гуй венды есть говно и хуита.
Это значит полночи и утро тут твой семён был? Или всё таки это ты лунатил?
"Твой семен" звучит как-то странно, УЧИ МЕМСЫ, ЛАЛКА. А я вчера лег спать в 22:00, есличо, так шта это эназер персон.
>в виндовсе есть гуй. И он хороший.
Вот смотри, с этой проблемой сталкивался абсолютно каждый. Суть такова - если окно программы каким-то образом приобретает размер равный размеру рабочего стола (не будучи при этом развёрнутым), его невозможно уменьшить, т.к. уменьшаются и увеличиваются окна в двух измерениях почему-то только ЗА БЛЯДСКИЙ ПРАВЫЙ НИЖНИЙ УГОЛОК, который находится в таком случае за пределами экрана. И всё блядь.
В пердоликсе взял за противоположный угол и сжал как тебе надо.
>в виндовсе есть гуй
Есть тулза AltDrag.
>ЙА НИКАМУ НИНУЖЫН!!!111
в таких случаях нажимай Win+UP
Непривилегированный LXC в openSUSE Аноним (openSUSE: Chromium based) 31/01/16 Вск 13:49:12 #300 №1599179
Никак не могу завести сабж.
В гугле пишут, что нужен shadow ≥ 4.2, но ведь в убунте 4.1.5, а работает.
Поскольку udermod --add-subuids не работает, добавил в /etc/sub{u,g}id вручную username:100000:65537
lxc-create стал писать
> error mapping child
> setgid: Invalid argument
Сконпелировал shadow 4.2, скопировал new{u,g}idmap в /usr/local/bin/, теперь
> newuidmap: write to uid_map failed: Operation not permitted
Куда дальше копать?
Можно вообще это это исправить самому, или проще забить и уповать на мейнтейнеров?
В гугле пишут, что нужен shadow ≥ 4.2, но ведь в убунте 4.1.5, а работает.
Поскольку udermod --add-subuids не работает, добавил в /etc/sub{u,g}id вручную username:100000:65537
lxc-create стал писать
> error mapping child
> setgid: Invalid argument
Сконпелировал shadow 4.2, скопировал new{u,g}idmap в /usr/local/bin/, теперь
> newuidmap: write to uid_map failed: Operation not permitted
Куда дальше копать?
Можно вообще это это исправить самому, или проще забить и уповать на мейнтейнеров?
Пиздец, в убунте вечно какие-то проблемы на ровном месте.
Или это врожденное криворучие убунтяток? Даже вот не знаю.
Ты хотел что-то конкретное сказать, или просто так вскукарекнул?
Второе, лол. На самом деле не пойму, ты там непривилегированные контейнеры пытаешься завести?
> Непривилегированный LXC
> Никак не могу завести
> ты там непривилегированные контейнеры пытаешься завести?
Проходи, не задерживайся.
Ок. Надо поспать, однозначно.
А говорил
>в виндовсе есть гуй
Какой же это нахуй гуй, если к этому гую надо пачку анальных улучшайзеров ставить чтобы жопа не рвалась каждые две минуты от блядских недоделок мелкомягких?
Ленивое-хуйло-кун ИТТ.
Есть ли контейнерная система с гуем и кнопкой "сделать заебись"?
Есть ли контейнерная система с гуем и кнопкой "сделать заебись"?
Пиздец, вас пока дождешься, уже сам всё сделаешь.
Палю годноту:
https://github.com/tomparys/docker-skype-pulseaudio
>ForwardX11 yes
Защита уровня амулета из магнитиков. Почитай-ка для начала: http://blog.invisiblethings.org/2011/04/23/linux-security-circus-on-gui-isolation.html
Такому, как ты, лучше всего подойдёт Qubes. Остальное всё недоделано и возни много. OS-level виртуализацию вместе с изоляцией иксов предоставляют как минимум subgraph, subuser, kagome, может ещё какую непопулярную неудобную хрень сделали. Пользоваться этим малоприятно и к тому же малоосмысленно, если у тебя остаётся громадное TCB.
>пачку анальных улучшайзеров ставить
В линуксе тоже без долгой ебли с конфигами нормальной безопасности не будет. По дефолту у дебиана iptables пропускает любой трафик. И ничего не изолируется.
> Skype
> Docker
Что же не в kvm-то сразу? Так недостаточно изоляции. Доступ к ведру есть.
Палю годноту http://pastebin.com/whc8ggDB
>свободный доступ к иксам и сети
>/dev/video* mrw
Ещё один с магнитиками. Главное /etc/group и /etc/passwd закрыты, вот это защита!
> /etc/group и /etc/passwd закрыты
Предотвращает слив логинов. Наверное.
Я не знаю, зачем скайп читает /etc/passwd, и поэтому хочу, чтобы он его не читал.
> свободный доступ к иксам
И что оно из иксов получит? Заэксплуатирует уязвимость и... ?
> и сети
Тогда и контейнер фаерволом закрывать надо.
>И что оно из иксов получит?
Что угодно: скриншоты, лог ввода, возможность писать в открытый терминал.
>Защита уровня амулета из магнитиков.
И тут ты такой достаешь аргументацию!
Это что за руны?
> лог ввода
Пруф?
xinput test-xi2 --root
можно хоть из контейнера с прокинутыми иксами, хоть через ssh -X.
>1.5Гб для xp
Чот дохуя заводишь, скайпу с ХР хватит порядка 500МБ
Речь о месте на диске, а не оперативке.
А, ок. Ну на него тоже в общем пофиг, полтора гига не страшно. Тем более вообще ХР можно ободрать чтобы она занимала меньше.
поясните за докер на пальцах
например при
docker pull node докер качает образ при чем там хуй проссышь че и где складывается, кучу файлов хешами вместо названия и прочее.
но суть в дргуом, в док файле я например вижу это
FROM buildpack-deps:jessie
оно типа качает мне минимальный образ дебиана и уже с него запускает?
Да, с помощью виртуалбокс.
В firejail тоже хотят изоляцию иксов через Xpra сделать: https://github.com/netblue30/firejail/issues/57 (как в subgraph и subuser).
А сейчас у них там изоляция уровня:
>In my opinion, the attacker will stay away from terminals. An xfce terminal is pretty visible on user desktop, and it is unclear to me how will he be able to manage the new window.
https://github.com/netblue30/firejail/issues/240
Вот это аргументы в защиту фанерной досочки! Этому говну ещё две сотни лайков наставили, я фигею.
Да, забавно.
А если там опеншорш типа Sumatra запускается? Кстати так и не нашёл годного аналога, evince говнецо в сравнении
Интересно девки пляшуть.
А что скажешь про XDMCP? Насколько я понял, это отдельный и таки изолированный инстанс иксов.
>Можно, но запуск графических программ несколько сложнее, особенно с OpenGL на проприетарных драйверах.
В чём заключается сложность?
Да не в чем особо. Тебе понадобится забиндить видяху и сокет для иксов в контейнер. Беда в том, что изоляция иксов в таком варианте отсутствует, т.е. мокрописька все еще может красть скриншоты и нажатые клавиши с хоста.
Сейчас как раз разбираю этот вопрос и ищу способы впилить изоляцию ввода-вывода без ощутимых оверхедов. Отпишу по итогам.
Давай. Сотни вайногеймеров тебя не забудут.
Алсо, можно же попробовать впилить туда дискретную видюху (в изолированный в контейнере вайн), а вне контейнера сидеть на встройке, или это совсем наркоманская идея?
>Реализации прыщеконтейнеров
>OpenVZ
>LXC
>Docker
>systemd-nspawn
А я раньше думал что контейнер это файл подключенный как loop-устройство.
Где можно почитать про контейнеры в общем? В ОП-посте только про конкретные технологии.
Загляни в мультиОС тред, вайнострадалец. Если железо может - всё обрящешь без всяких вайнов.
Контейнеры это и есть контейнерные технологии. Технологии анального огораживания пипилитарного говнософта, тупоголовых юзеров и т.д.
Да нихуя оно не может, вся надежда на тебя, лол.
VT-d точно нету? Проверил?
>Хоть один назови.
Pantheon. Не без недостатков, да, но во время луны были надежды на лучшее будущее. А на деле во фрее поломали много вещей, не починив старые - поэтому нынче популярность дистрибутива так катастрофически и падает.
Есть еще надежда на будущее deepin, но сейчас ДЕ крайне сырая и несколько непродуманная.
Всё остальное даже с обмазыванием всякими xenlism'ами выглядит говном, ну или, на крайний случай, говном, посыпанным пудрой.
>Ubuntu
>elementary
>Deepin
говноед/10
>>Ubuntu
Elementary убунту-бейсд, поэтому и определилось как убунта.
А про говноедство - что поделать, когда все остальные популярные ДЕ еще большее говно.
Cinamon - окружение
Banshee - аудио плеер
Банши мне показался кривым каким-то. Даже полоса прокрутки чудная. Зацени интеграцию виндовс медиа.
Говногайд по виртуальной машине на lxc от Анонимуса (на примере скайпа).
1)
Ставим lxc и гуй:
dnf (apt/pacman/yum/emerge) install lxc lxc-templates libvirt virt-manager
2)
Пилим директорию для контейнера, например
mkdir /opt/skype
3)
Кастуем создание контейнера (нельзя сделать через гуй, ой-вэй).
lxc-create --dir %ваша директория из п.2.% -n %придумайте имя% -t download -- -d ubuntu -r wily -a i386
Принципиальные хейтеры могут юзать вместо убунты хоть LFS.
i386 потому что скайп всё равно 32-битный, а мультилиб контейнер получится значительно тяжелее.
4)
Открываем virt-manager, тыкаем "создать", выбираем LXC и operation system container. В поле existing root OS dir вводи директорию из п.2.
Выделяем контейнеру память и процессор. 1 ядра и 512мб хватит с запасом.
Ставим галку costumize before install. В NIC указываем NAT. Позже это позволит огородить контейнер фаерволлом от доступа куда не надо.
Жмем Begin installation.
5)
Контейнер создан, теперь нужно поставить пароль. Гуй, опять же, не умеет.
su
chroot %директория из п.2% /bin/bash
passwd ubuntu
exit
exit
6)
Возвращаемся в гуй и логинимся в шелл контейнера, добавляем партнерские репозитории (в них лежит скайп):
sudo su
apt update
apt install nano
nano /etc/apt/sources.list
Дописываем в конец:
deb http://archive.canonical.com/ubuntu wily partner
deb-src http://archive.canonical.com/ubuntu wily partner
apt update
7)
Теперь таки ставим скайп:
apt install skype
Ставим xVNC. Если VNC вам богопротивен, пересоздайте контейнер с 64-бит архитектурой и используйте spice.
apt install vnc4server
8)
Проверяем работу VNC:
vncserver
пишем пароль
Узнаем ip контейнера
ifconfig
Ставим на хост любой VNC-клиент (например remmina).
Для подключения по VNC нужно обязательно указывать дисплей. Он указывается в поле ip через :, т.е. вместо 192.168.122.30 нужно писать 192.168.122.30:1, иначе кина не будет.
Если всё получилось, откроется серое окно с белой консолью. В нем уже можно запустить скайп, но для начала нам понадобится оконный менеджер.
9)
Ставим оконный менеджер по вкусу.
Если не знаете что и как ставить - хорошей идеей будет впилить минимальное ДЕ (так меньше настраивать):
apt install fluxbox
10)
Запиливаем автостарт всего барахла:
nano /etc/systemd/system/xvnc.service
Пишем:
[Unit]
Description=xvnc autostart
[Service]
ExecStart=/usr/bin/xvnc-autostart
[Install]
WantedBy=multi-user.target
nano /usr/bin/xvnc-autostart
Пишем:
#!/bin/sh
su -s /bin/sh - ubuntu -c "vncserver"
Перезагружаем контейнер.
Теперь при старте контейнера будут стартовать и VNC-сервер с lxde.
Скайп можно запустить командой из той самой белой консольки.
---------------------
В следующих сериях: как запилить звук, как огородить локальную сеть, как сделать нормальное разрешение, как пробросить в контейнер видеокарту и многое другое.
1)
Ставим lxc и гуй:
dnf (apt/pacman/yum/emerge) install lxc lxc-templates libvirt virt-manager
2)
Пилим директорию для контейнера, например
mkdir /opt/skype
3)
Кастуем создание контейнера (нельзя сделать через гуй, ой-вэй).
lxc-create --dir %ваша директория из п.2.% -n %придумайте имя% -t download -- -d ubuntu -r wily -a i386
Принципиальные хейтеры могут юзать вместо убунты хоть LFS.
i386 потому что скайп всё равно 32-битный, а мультилиб контейнер получится значительно тяжелее.
4)
Открываем virt-manager, тыкаем "создать", выбираем LXC и operation system container. В поле existing root OS dir вводи директорию из п.2.
Выделяем контейнеру память и процессор. 1 ядра и 512мб хватит с запасом.
Ставим галку costumize before install. В NIC указываем NAT. Позже это позволит огородить контейнер фаерволлом от доступа куда не надо.
Жмем Begin installation.
5)
Контейнер создан, теперь нужно поставить пароль. Гуй, опять же, не умеет.
su
chroot %директория из п.2% /bin/bash
passwd ubuntu
exit
exit
6)
Возвращаемся в гуй и логинимся в шелл контейнера, добавляем партнерские репозитории (в них лежит скайп):
sudo su
apt update
apt install nano
nano /etc/apt/sources.list
Дописываем в конец:
deb http://archive.canonical.com/ubuntu wily partner
deb-src http://archive.canonical.com/ubuntu wily partner
apt update
7)
Теперь таки ставим скайп:
apt install skype
Ставим xVNC. Если VNC вам богопротивен, пересоздайте контейнер с 64-бит архитектурой и используйте spice.
apt install vnc4server
8)
Проверяем работу VNC:
vncserver
пишем пароль
Узнаем ip контейнера
ifconfig
Ставим на хост любой VNC-клиент (например remmina).
Для подключения по VNC нужно обязательно указывать дисплей. Он указывается в поле ip через :, т.е. вместо 192.168.122.30 нужно писать 192.168.122.30:1, иначе кина не будет.
Если всё получилось, откроется серое окно с белой консолью. В нем уже можно запустить скайп, но для начала нам понадобится оконный менеджер.
9)
Ставим оконный менеджер по вкусу.
Если не знаете что и как ставить - хорошей идеей будет впилить минимальное ДЕ (так меньше настраивать):
apt install fluxbox
10)
Запиливаем автостарт всего барахла:
nano /etc/systemd/system/xvnc.service
Пишем:
[Unit]
Description=xvnc autostart
[Service]
ExecStart=/usr/bin/xvnc-autostart
[Install]
WantedBy=multi-user.target
nano /usr/bin/xvnc-autostart
Пишем:
#!/bin/sh
su -s /bin/sh - ubuntu -c "vncserver"
Перезагружаем контейнер.
Теперь при старте контейнера будут стартовать и VNC-сервер с lxde.
Скайп можно запустить командой из той самой белой консольки.
---------------------
В следующих сериях: как запилить звук, как огородить локальную сеть, как сделать нормальное разрешение, как пробросить в контейнер видеокарту и многое другое.
Looks like shit
Охуенно, пиши ещё.
Выглядит симпатично, что это?
мимо
Elementary.
Аналогично интегрируются популярные аудиоплееры (проверил на audacious, banshee, foobnix). Deadbeef не подцепился.
Бамп, пока не смыло вайпом.
>Открываем virt-manager, тыкаем "создать",
Дальше не читал.
Вот нормальный гайд: https://habrahabr.ru/company/westcomp/blog/269423/
Хочешь ебаться с конфигами насасываясь хуйцов с несовместимостью путей у различных дистров - ебись. Гуёвинка всё делает за тебя.
Бамп таки.
Ему про гуй - он про безопасность. Больной что-ль совсем?
Бамп.
А Рутковская-то опять права была:
>Уязвимость в ядре Linux, позволяющая запустить код при подключении USB-устройства злоумышленника
https://www.opennet.ru/opennews/art.shtml?num=43920
От этой хуйни никакие контейнеры не спасут. Только Qubes с IOMMU.
>Уязвимость в ядре Linux, позволяющая запустить код при подключении USB-устройства злоумышленника
https://www.opennet.ru/opennews/art.shtml?num=43920
От этой хуйни никакие контейнеры не спасут. Только Qubes с IOMMU.
Как страшно жить всяко лучше песочниц
>позволяющая организовать выполнение кода с правами ядра при наличии у атакующего физического доступа к системе.
>при наличии у атакующего физического доступа к системе.
Ну охуеть теперь.
Купил у китайцев флэшку, в её прошивке эксплуатация подобного бага (про ответную часть в юзерспейсе на время забудем, ну или будем считать, что есть RCE через какой-нибудь браузер или glibc, ололо).
Твои действия?
Пароли менять. А вообще USB давно зашкварен, от него лучше на секьюрной системе отказаться полностью.
>А вообще USB давно зашкварен
Двачую. Ну или можно USB-контроллер через IOMMU в гостя пробрасывать.
А вообще, в драйверах сетевух (и особенно беспроводных вайфай-адаптерах), тоже легко подобные баги находят. Так что без IOMMU никуда.
(Там ещё возникают проблемы уровня - эксплойт переписал прошивку устройства и во время его инициализации биосом/уефи может воздействовать на последний. Вроде от этого через Intel TXT только защищаются.)
>и во время его инициализации биосом/уефи может воздействовать на последний. Вроде от этого через Intel TXT
Мрак.
Хм, ну уж USB-клавой от производителя с репутацией мб и можно пользоваться. Как считаете?
Лол, а как ты узнаешь, что его NSA не обязал бэкдоры встроить? Или что это не китайский клон?
(Вероятность массового применения не очень большая, впрочем, а то спалить могут, шум поднимут. Просто сам факт, что нихуя уже даже банальным флэшкам доверять нельзя, немного пугает.)
Тру-параноики используют PS/2:
https://www.qubes-os.org/doc/security-guidelines/#tocAnchor-1-1-8
>Also makes sure you know all the other USB ports for that controller, and use them carefully, with the knowledge you are exposing Dom0
>All USB devices should be assumed as side channel attack vectors (mic via sound), others via power usage so user may prefer to remove them
>Most non-Apple laptops have a PS/2 input for keyboard and mouse, so this problem does not exist
У меня есть старая полуклава, думаю там мембрана того. Думаю взять контролер от неё и поставить в свою logitech k120, если надо, разводку (эту пластиковую плёнку с тоненькой проволочкой) возьму от старой. Хотя есть надежда что этого не придётся делать и достаточно будет поменять контролёр.
А так можно будет и самому сделать, лол. Мне просто дико нравится К120
>думаю там мембрана того
Даже не думаю, а знаю, лол. Ну старость не радость, что сказать.
Алсо, идея это тем более профитная, что у меня есть KVM для PS/2, можно будет не ебаться с проброской и переключаться между компами аппаратно.
бамп
>В линуксе тоже без долгой ебли с
>конфигами нормальной безопасности не будет. По дефолту у дебиана iptables пропускает любой трафик. И ничего не изолируется.
А с чего ты взял что это кому-то кроме тебя нужно? По дефолту тебе дают набор инструментов и ты волен делать с ним все что хочешь. Мне например нахер не нужна безопасность по дефолту т.к. у меня более 10 принципиально разных ролей для машин и 7 из них вообще не нужен iptables.
Речь идёт только об исходящем траффике?
>В линуксе тоже без долгой ебли с конфигами нормальной безопасности не будет.
>В линуксе
>По дефолту у дебиана
Дебианодебил, плиз, посмотри на дефолтные настройки firewalld и selinux в centos и fedora.
Бамп.
Контейнероёбство в прыщах выходит на следующий уровень: средства управления контейнерами для отдельных приложений стандартизуют и интегрируют в DE. В итоге это будет представлять репозитории не привязанного к дистрам софта, устанавливаемого пользователем без админских прав в свой домашний каталог и запускаемого в изолируемом окружении.
https://wiki.gnome.org/Projects/SandboxedApps
На днях вышел инструментарий xdg-app 0.5.0, пока без поддержки иксов (вангую что для неё они хотят запилить запуск отдельного x-сервера для каждого приложения, т.к. иначе это хуйня, а не изоляция), зато с поддержкой wayland:
http://www.opennet.ru/opennews/art.shtml?num=44075
https://wiki.gnome.org/Projects/SandboxedApps
На днях вышел инструментарий xdg-app 0.5.0, пока без поддержки иксов (вангую что для неё они хотят запилить запуск отдельного x-сервера для каждого приложения, т.к. иначе это хуйня, а не изоляция), зато с поддержкой wayland:
http://www.opennet.ru/opennews/art.shtml?num=44075
Дык этим штукам тысяча лет. Я б не сказал, что пока дело с мёртвой точки сдвинулось. Это всё неудобно и плохо поддерживается. А некоторые решения так вообще даже изоляцию иксов не предоставляют, делая всю защиту бессмысленной.
> Мне например нахер не нужна безопасность по дефолту
> не нужна безопасность
> не нужна безопасность
> не нужна безопасность
обосрамс, хочу жрать говно
>делая всю защиту бессмысленной.
Ещё там сетка скорее не изолирована. И программы из этих app-контейнеров могут иметь доступ в локалку.
Таки бамп.
Бамп
Как закрыть skype в песочницу или контейнер, где можно почитать подробный мануал по этому поводу?
Ну чтобы там разрешить ему делать что-то, когда я этого хочу, а так пусть сидит в своем манямирке со своими зондами и не бэкдорит меня.
Ну чтобы там разрешить ему делать что-то, когда я этого хочу, а так пусть сидит в своем манямирке со своими зондами и не бэкдорит меня.
Профили AppArmor для скайпа разной параноидальности легко гуглятся.
Контейнер для этого сильно избыточен, ящитаю.
apparmor усть в убунте по дефолту?
Sandiboxie
Да.
бампп
Так вот, что такое контейнеры и с чем их едят. Контейнер — это как chroot (запуск процесса в отдельной иерархии ФС), только с изоляцией от внешних процессов, сети, устройств и прочих ресурсов по выбору, из которого в отличие от chroot нельзя убежать. В контейнер можно засунуть как отдельные приложения с нужными им библиотеками, так и целые прыщесистемы с init'ом и демонами.
Прыщеконтейнеры применимы для:
— запуска пиписитарного зондоговна (steam, skype, кусков спермы под вайном);
— создания временных окружений, действия в которых не оставят следов в системе;
— установки софта, требующего отличного от имеющегося в дистрибутиве набора библиотек;
— установки софта со большим набором зависимостей, который не хочется ставить в основную систему;
— создания переносимых окружений;
— тестирования работы софта в других дистрибутивах;
— других задач, для которых традиционно использовались гипервизоры и виртуальные машины (не всех, конечно — иногда эмуляция железа нужна).
Создание новых контейнеров с целыми ОС за счёт технологии CoW (copy on write) занимает доли секунды и минимум места на диске, их запуск — ровно столько оперативки, сколько нужно запущенным процессам. По сравнению с виртуальными машиными это огромная экономия.
Реализации прыщеконтейнеров:
— OpenVZ: давно используется на вебхостингах, требует модификации ядра;
— LXC;
— Docker: фреймворк для манипуляции типовыми контейнерами, позволяет скриптовать их создание;
— systemd-nspawn: контейнеры для тестирования окружений, полную изоляцию не обеспечивают.
При запуске зондоговна с GUI следует иметь в виду, что в X11 разграничение доступа реализовано чуть менее чем никак, и для изоляции надо использовать либо отдельный X-сервер, либо Wayland.
Почитать:
— https://linuxcontainers.org/lxc/getting-started/
— https://docs.docker.com/engine/userguide/basics/
— http://www.freedesktop.org/software/systemd/man/systemd-nspawn.html
— http://www.freedesktop.org/software/systemd/man/machinectl.html