> А у меня вопрос: можно ли средствами cgroups ограничить по максимуму > такую какашку как Skype? Увы есть в ней необходимость. Но хочется в > идеале оставить ей только сеть, звук и доступ к одному каталогу, чтобы > сохранять туда прилетевшие файлы. Как-то поднимать ради этого целый > контейнер у которого свой rootfs со всеми теми же библиотеками и т.д., > мне кажется очень расточительным.
Это замечательно делает AppArmor. Не знаю как с ним в дебиане, в убунте и сусе работает из коробки. На сусевики лежал конфиг. Если он протух то у аппармор есть интерактивный режим, в котором легко сгенерировать новый конфиг и наслаждаться паранойей.
