> X же прозрачный протокол.

> PSH-PSH-audio тоже чтоль?

>

>Реализации прыщеконтейнеров:

>— OpenVZ:

>— LXC;

>— Docker:

>— systemd-nspawn:

>к роутуру

>Пустив приложение в свои иксы, ты позволишь ему захватывать экран и ввод.

>при создании дефолтных сетевых интерфейсов все контейнеры имеют доступ к локальной сети

>создавать для связи виртуальный сетевой интерфейс: при этом по умолчанию он никуда не роутится и не бриджится

> Контейнер — это как chroot

> Если в контейнер сеть не пущена

> Завернул в виртуалку

>> Если в контейнер сеть не пущена, тоне похрен ли, что оно прочитает с экрана и с ввода? Стучать-то некуда.

> X.org allows applications to exclusively grab keyboard and mouse input. If such applications misbehave you are left with a system you cannot manage, you cannot even switch to text terminals.

> http://itvision.altervista.org/why.linux.is.not.ready.for.the.desktop.current.html

> X.org architecture is inherently insecure - even if you run a desktop GUI application under a different user in your desktop session, e.g. using sudo and xhost, then that "foreign" application can grab any input events and also make screenshots of the entire screen.

> http://itvision.altervista.org/why.linux.is.not.ready.for.the.desktop.current.html

> !! X.org is not multithreaded. Certain applications running intensive graphical operations can easily freeze your desktop (a simple easily reproducible example: run Adobe Photoshop 7.0 under Wine, open a big enough image and apply a sophisticated filter - see your graphical session die completely until Photoshop finishes its operation).

>потратил 10Гб места

>гиг оперативки

>полчаса на установку

>>при создании дефолтных сетевых интерфейсов все контейнеры имеют доступ к локальной сети

>Чтоблять? Каких ещё дефолтных сетевых интерфейсов?

>

>Контейнеры позволяют:

>— использовать сеть хоста: при этом контейнеру доступно создание любых сокетов на имеющихся сетевых интерфейсах;

>— вообще не включать поддержку сети, при этом контейнеру достуен только интерфейс 127.0.0.1, отдельный от хоста.

>

>Защиты от чего?

>10ГБ места, и полчаса на установку щиндовса.

> гиг оперативки

>

>Неиспользованная память виртуалки свапится.

>любая иксовая программа может залочить на себя клаву и мышь.

>иксовая прога может вызвать зависание всего икс-сервера интенсивными графическими операциями.

>иксовая прога может делать скриншоты всего окна. в котором могут быть секретные проги.

> Но lxc не контролирует доступ к локалку и это есть большая дыра о которой никто не говорит.

> У нормальных людей терабайнтые диски и им похуй на твои кукареки.

> В реальной ситуации даже если ты выделишь виртуалке несколько гигов, то будет использоваться пара сотен и не более того. Всё зависит от количества програм запущенных в виртуалке.

>2009

>

>Здесь ты забыл про сперму, которая любит занимать чуть ли не всю ей предоставленную оперативку.

>С точки зрения приложения это не выдернутый кабель, а отсутствие сетевухи.

>Если ты не умеешь настраивать сеть, то и с изоляцией контейнеров не справишься.

>И проблема тут не столько в утекании из контейнеров в локальные сети, сколько в неграмотно построенных сетях — с дырявыми роутерами/принтерами без паролей и прочими фокусами.

> Контейнер должен обеспечивать ограничение трафика в домашнюю локалку.

> Мне кажется по дефолту контейнер при наличии сетевого интерфейса должен резать весь трафик.

> А в конфиге должна была бы быть настройка что одной опцией можно разрешить трафик в локалку (192.x.x.x), другой опцией доступ к dns роутера, другой опцией доступ к внешке, другой опцией доступ к локалке провайдера (10.x.x.x) и т.д..

> По мне так это дыра.

>Контейнер — не фаервол, а комбайны не нужны

>установки софта со большим набором зависимостей, который не хочется ставить в основную систему

> Например в него встроили поддержку apparmor-профилей.

> Встроили лимитирование cgroups.

> Можно и правила фаервола встроить.

> Телевизоров без смарттв не бывает.

> Но дано очевидно, что к телевизору нужно ставить коди на пасивном интеле.

> Поставил такой к ТВ и получил безграничные возможности, десяток терабайт сетевой помойки, роутер с вайфаем, нормальный звук и прочее.

> Поддержка HDMI-CEC обеспечивает управление с того же пульта что и тв.

>из своей спермокучи вовсе порвался и применил ban+delall, в чём потом признался

>Дальше не читал.

>

>Почему искаропки так не сделано, чтобы каждая программа сидела в своем манямирке и не связывала систему кучей зависимостей?

> Можно ли в контейнер поставить Steam и играть в мои игори оттуда?

> Я не хочу засирать систему легаси-либами.

> будет ли потеря производительности?

> Adobe Photoshop в WINE, который загружен в контейнер

> Какие контейнеры выбрать для дома?

>огранизацией работы сети, это делается внешними по отношению к нему средствами. Соответственно, и настройка фаервола в его функционал не вписывается.

>

>жужжащий винчестерами

>кулером бп

>Нахуй нужен роутер, который надо отключать на ночь?

>wine сам по себе песочница.

> признался (>>1571124).

> Steam

> Wine

>из которого в отличие от chroot нельзя убежать.

> click пакеты в убунте тоже сорт контейнеров

>The feature is not going to be ready for years.

>The feature is not going to be ready for years.

>> Wine

>Хватит отдельного юзера.

> убрать привязки за пределы префикса

> Winefile will still navigate from '/', but trying to open anything outside of your new Z: drive will result in 'File Not Found." This trick only works if a malware developer isn't anticipating this.

>> убрать привязки за пределы префикса

>winetricks

> ОНО САМО

> wine сам по себе песочница

> Параноики могут убрать привязки за пределы префикса.

> Такое сообщение выводится при отсутствии указанного бинария

>8.1

>

>А есть что-то подобное, но под Шиндоус?

>Нет. В такое умеют только UNIX и UNIX-like ос.

>Steam

>Chroot

> от рута пускать надо

>nspawn

>какой-то

> гляди, лейтенант, тут Прыщан Пердольевич старушечьи сраки смотрит, гыыы

>systemd-nspawn is a tool for systemd systems.

>Since Linux 2.6.19 it is however possible to run systemd on a non-systemd system by using PID namespace. For it, the kernel needs to be configured with CONFIG_PID_NS and CONFIG_NAMESPACES).

>The PID namespace creates a new hierarchy of processes starting with PID 1. In addition to this, systemd requires a chrooted root filesystem to be mounted. Hence, you have to at least make a bind mount, because otherwise some services will fail with

>> установка программ не размазывается говнозависимостями по всей системе, а напоминает мак и ведро,

>GoboLinux

>— LXC;

>Я вообще предпочитаю ставить debian этим способом

> и не только

> The Docker VM is lightweight Linux virtual machine made specifically to run the Docker daemon on Windows.

>

>А как же эти галочки в инсталляторе? Локаль там, все дела.

>

>Вначале в виртуалке с дебианом с помощью debootstrap скачиваешь минидебиан в папку

> Или в реальном дебиане.

> И запускать только через контейнер другой системы?

> Но ведь это не установка. Это нечто среднее между установкой в виртуалку и установкой на диск.

> То есть дистрибутив так сменить нельзя, или можно?

>Можно установить туда ядро (и загрузчик, если нужно) и запускать реальную или виртуальную машину.

>Здесь ты забыл про сперму, которая любит занимать чуть ли не всю ей предоставленную оперативку. >>1571574

> Т.к. линукс и виндовс используют всю свободную память как файловый кеш.

>добавить один usb-канал

> Ты оказался не прав.

> Ты написал про винду.

> А теперь пытаешься перевести разговор про контейнеры.

> Ты утверждал здесь >>1571574 что память только винда съедает всю память.

>В своп уедет скорее не только виртуалка с ворочающейся там спермой, но и половина браузера и прочих запущенных приложений, из-за чего они начнут тормозить

>Вначале сам сказал хуйню.

> Мудак браузер не уедет в свап, т.к. его память используется.

> Вобщем я понял что ты пидаразка, обычная религиозная линуксоидная мразь. Именно религиозный линуксоид. Не здоровый объективный линуксоид, а религиозный линуксоид, больной фанатик. И естественно что ты будешь врать о винде, но также защищая свой святой линукс будешь врать о линуксе. Больной человек.

>Разницу объяснять?

>гигабайта маловато, начинается своппинг, надо два.

>Не думаю, что потребление ресурсов десктопными версиями щиндовса отличается в разы.

>Повторюсь: если хочешь чтобы программы работали, а не тормозили, то нужно выделять память так, чтобы свопа вообще не было.

> А он про свой сраный никому не нужный Win2012-server.

> Большинству программ нахуй не нужны эти твои гигабайты.

> — установки софта, требующего отличного от имеющегося в дистрибутиве набора библиотек;

> При запуске зондоговна с GUI следует иметь в виду, что в X11 разграничение доступа реализовано чуть менее чем никак, и для изоляции надо использовать либо отдельный X-сервер, либо Wayland.

>И похуй, что меню пуск в твоей сперме будет открываться по 5 секунд, если не теребить его постоянно.

> поддержка которой давным давно дропнута

>потому что с последним обновлением проебались все зависимости,

> как chroot

>Jails build upon the chroot(2) concept,

> https://www.freebsd.org/doc/handbook/jails.html

> Для иксов нужно прокинуть как минимум переменную $DISPLAY, ключ $XAUTHORIT

>-X

> ssh -X

> Иксы нужно тоже изолировать.

>Тормоза, отсутствие аппаратного ускорения графики.

> Тормоза, отсутствие аппаратного ускорения графики.

> это, разве что, Шкайпик и, для параноиков, Стим.

> чтение ... ssh, gpg

>

>А зачем изолировать иксы для контейнера, в котором нет сети

> несколько десятков серверов с разными ключами

>Может быть вам стоит попробовать использовать операционную систему ПитухОС Дрисять

>БАБАХ

>ВРЁТИ ПИРИФОРС

>Прыщи не могут в ГУЙ и пользовательскую юзабилити

>системы, которые могут в ГУЙ из коробки?

>(Linux: Firefox based)

>но по юзабилити он будет просирать даже windows 95

>божественную макось

>Дохуя дистров имеют няшный DE искаропки

>Как будто недоделанный windows 95

>поделия вроде гнома, кде или xfce

>Ты предлагаешь бросаться из одной крайности в другую.

>Мораль - ставьте семерку (или сервер 2008) и не ебите мозг.

>кококо нинужно

>маняманевры

>Дебилу, у которого два приложения - браузер и танчики?

> и получаем полноценную прыщеконсоль.

> получаем полноценную прыщеконсоль

>прыщавые гуи - это поделия вроде гнома, кде или xfce?

> EXAMPLE 3

> # pacstrap -c -d ~/arch-tree/ base

> # systemd-nspawn -bD ~/arch-tree/

>с его установкой.

> У меня апстарт. Как я понимаю, придётся ещё поебаться с его установкой.

> А для генты какой алгоритм действий? Такой же?

> Для ссанины вместо pacstrap просто распакуй стаж.

> когда у тебя 2 видяхи - это вообще целое приключение.

> Я писал, что в виндовсе есть гуй. И он хороший.

> Линуксовый гуй предельно оторван от реальных потребностей большинства населения.

>И вообще, хули ты проснулся? Пиздуй досыпать.

>в виндовсе есть гуй. И он хороший.

>в виндовсе есть гуй

>ЙА НИКАМУ НИНУЖЫН!!!111

> error mapping child

> setgid: Invalid argument

> newuidmap: write to uid_map failed: Operation not permitted

> Непривилегированный LXC

> Никак не могу завести

> ты там непривилегированные контейнеры пытаешься завести?

>в виндовсе есть гуй

>ForwardX11 yes

>пачку анальных улучшайзеров ставить

> Skype

> Docker

>свободный доступ к иксам и сети

>/dev/video* mrw

> /etc/group и /etc/passwd закрыты

> свободный доступ к иксам

> и сети

>И что оно из иксов получит?

>Защита уровня амулета из магнитиков.

> лог ввода

>1.5Гб для xp

>In my opinion, the attacker will stay away from terminals. An xfce terminal is pretty visible on user desktop, and it is unclear to me how will he be able to manage the new window.

>Можно, но запуск графических программ несколько сложнее, особенно с OpenGL на проприетарных драйверах.

>Реализации прыщеконтейнеров

>OpenVZ

>LXC

>Docker

>systemd-nspawn

>Хоть один назови.

>Ubuntu

>elementary

>Deepin

>>Ubuntu

>Открываем virt-manager, тыкаем "создать",

>позволяющая организовать выполнение кода с правами ядра при наличии у атакующего физического доступа к системе.

>при наличии у атакующего физического доступа к системе.

>и во время его инициализации биосом/уефи может воздействовать на последний. Вроде от этого через Intel TXT

>думаю там мембрана того

>В линуксе тоже без долгой ебли с

>конфигами нормальной безопасности не будет. По дефолту у дебиана iptables пропускает любой трафик. И ничего не изолируется.

>В линуксе тоже без долгой ебли с конфигами нормальной безопасности не будет.

>В линуксе

>По дефолту у дебиана

> Мне например нахер не нужна безопасность по дефолту

> не нужна безопасность

> не нужна безопасность

> не нужна безопасность

>делая всю защиту бессмысленной.