13.11.2016 19:36, Victor Wagner пишет: > On Sun, 13 Nov 2016 00:28:05 +0300 > [email protected] (Yuriy M. Kaminskiy) wrote: > >> Чтобы уменьшить attack surface, firejail убирает из /bin "всякое >> ненужное", монтируя в свежеотфорканном mount namespace "недоступный >> файл" поверх всего-подряд (в частности, gcc, perl, python, и так >> далее, см. /etc/firejail/disable-devel.inc); или, наоборот, собирает >> "новый /bin", состоящий только из нужных бинарников (при помощи ровно >> того же mount --bind). >> >> (IMO, это из раздела одевания презерватива на огурец, но...) >> >> (Ну и тоже самое с кучей файлов в $HOME, с теми же последствиями: >> при запущенном firejail [и на ядре из jessie], сделать mv >> ~/.bashrc{,~} тоже не получится [а вот это уже часть необходимой >> защиты, без которой не обойтись]) > Ну то есть имеет смысл отказаться от firejail и вместо этого > использовать решения на базе schroot, если не kvm, где будут > отдельные /bin и /home > с ОТДЕЛЬНЫМИ бинарниками и скриптами, которые никаким образом не > связанны с основной системой, и не содержат ничего лишнего чисто > физически? > > > KVM, наверное — перебор. Я использую LXC для всякого «непойми что». В контейнер пробрасываю только иксы и пульсу — этого достаточно для всяких скайпов, хромов и иже с ними. Места такие контейнеры занимают существенно меньше чем полновесная виртуалка и памяти требуют тоже меньше.
Кстати, firejail тоже нормально работает потому что ядро у меня давно либо из back-ports, либо собрано из linux-source из stretch. Собирал, кстати, как раз для использования LXC не от рута — в «стабильном» ядре с этим были проблемы.
