06.06.2020, Dmitry Alexandrov<321...@gmail.com> написал(а): >>>> Честно говоря, не в курсе, можно ли в контейнерах штатным образом >>>> запускать гуёвый софт с отображением его окон на локальных иксах без >>>> всяких ssh -X в контейнер >>> >>> Да, естественно, ибо с каких это пор Иксам стали требоваться всякие >>> костыли типа ssh для отрисовки окон на другой машине?
Тут вы пишете "на другой машине" >> Ключевые слова - авторизация и шифрование. > > Шифрование трафика виртуальной сети на локалхосте? А авторизация в Иксах > есть, вы же сами про нее ниже пишете. А тут уже спрашиваете про локалхост. Что касается авторизации в иксах - её может и достаточно, но открывать ещё одну дырку для атаки по сети мне как-то не нравится, как и прикрывать её фиговым листочком файрволла. Ноут таскается не только дом-работа. >>> Единственное, я как-то так и не понял, работает ли это с link-local >>> адресами, которые fe80::/10. Кто понял, подскажите. >> >> А чем этот адрес от других ipv6 так сильно отличается > > Тем, что он обязан быть уникальным только в пределах сети второго уровня. А > отсюда какой-нибудь fe80::5054:ff:fed1:a17d — он по-хорошему > fe80::5054:ff:fed1:a17d%virbr0. Два одинаковых макадреса на одной и той же машине - не встречал пока что. Разве что, когда сам ставил. >>> Другое дело, что толку-то? Одних Иксов далеко не всякому гую достаточно. >>> Доступа к отрисовке на GPU Иксы же сами по себе не дают. >> >> Это совершенно другой вопрос - игры и игроподобные вещи > > Да что там игры! У нас даже GTK не прочь отрисовку на GPU заиметь. Хотя > GTK-то, конечно, без него обойдется, а вот, например, видеоплэйер уже нет. Хм... Вот тот же телеграм мне вполне себе показывал видео по ssh до виртуалки с хождением трафика через пару провайдеров. Да и vlc с mplayer ещё умеют вывод на x11. Да, трафик. Да, в полный экран тормозило. Но работало. Так что всё относительно. Совать в контейнер плеер неизвестного происхождения при наличии вполне себе устраивающего локального mpv/vlc - это извращение, по-моему. Впрочем, как и показывать декодированное видео за 7 хопов по обычному инету. >> Скорее, поставить права на .Xauthority (вероятно, через setfacl) + >> пробрасывать данный файл тоже > > Да по-хорошему токен не должен меняться против вашей воли, так можно его > просто и скопировать. Ну или так. Заодно забить на соответствие uid внутри и вне контейнера - файл доступен, сокет доступен, а что uid не соответствует - иксам пофиг, они вообще от рута запущены. -- Stanislav
