>Если только мне не расскажут про какой-нибудь удобный инструмент управления файрволлом для типичного сетапа LXC
docker - немного нето, но смысл будет тот-же. 14 ноября 2016 г. 7:26:57 GMT+03:00, Victor Wagner <[email protected]> пишет: >On Sun, 13 Nov 2016 20:11:41 +0300 >Михаил Касаджиков <[email protected]> wrote: > >> 13.11.2016 19:36, Victor Wagner пишет: > >> > Ну то есть имеет смысл отказаться от firejail и вместо этого >> > использовать решения на базе schroot, если не kvm, где будут >> > отдельные /bin и /home >> > с ОТДЕЛЬНЫМИ бинарниками и скриптами, которые никаким образом не >> > связанны с основной системой, и не содержат ничего лишнего чисто >> > физически? >> > >> > >> > >> KVM, наверное — перебор. Я использую LXC для всякого «непойми что». В >> контейнер пробрасываю только иксы и пульсу — этого достаточно для >> всяких скайпов, хромов и иже с ними. Места такие контейнеры занимают >> существенно меньше чем полновесная виртуалка и памяти требуют тоже >> меньше. > > >В LXC в первую очередь требуется пробрасывать сеть. Поэтому я считаю >что для домашней машины или ноутбука LXC - тоже перебор. Если только >мне не расскажут про какой-нибудь удобный инструмент управления >файрволлом для типичного сетапа LXC, который позволит аккуратно >зарезать лишнее. Впрочем, skype в этом плане весьма пакостен - никогда >не знаешь на какие хосты ему надо коннектиться и зачем. > >Вот обычный c >chroot, который делит сеть с хостом - это в самый раз. Для skype я и >использую решения на базе schroot. А вот с telegram - поленился, >польстился на готовый профиль в firejail. > >> Кстати, firejail тоже нормально работает потому что ядро у меня давно >> либо из back-ports, либо собрано из linux-source из stretch. Собирал, >> кстати, как раз для использования LXC не от рута — в «стабильном» >> ядре с этим были проблемы. >> > > > >-- > Victor Wagner <[email protected]> -- Простите за краткость, создано в K-9 Mail.
