https://opennet.ru/openforum/vsluhforumID3/108118.html Представлен (https://l3net.wordpress.com/2016/04/03/firejail-0-9-40-rc1-release-announcement/) выпуск Firejail 0.9.40 (https://firejail.wordpress.com/), системы изолированного выполнения графических, консольных и серверных приложений. Целью Firejail является минимизация риска компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Для изоляции в Firejail <br>используется (https://firejail.wordpress.com/features-3/) механизм пространств имён (namespaces) и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си, распространяется (https://github.com/netblue30/firejail) под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовый пакет с Firejail можно установить из Debian jes https://opennet.ru/openforum/vsluhforumID3/108118.html#24 Thu, 26 Oct 2017 01:17:01 GMT TOMOYO Linux умеет контролировать сеть отдельных приложений<br> https://opennet.ru/openforum/vsluhforumID3/108118.html#23 Fri, 03 Jun 2016 21:41:58 GMT Ты знаешь как работает net namespace ?<br> https://opennet.ru/openforum/vsluhforumID3/108118.html#22 Fri, 03 Jun 2016 19:10:54 GMT народ, что лучше, чтобы запускать софтваре без прав на чтение других директорий (включая хомяка) - оно или ручками пилить отдельного юзверя и проставлять права?<br> https://opennet.ru/openforum/vsluhforumID3/108118.html#21 Fri, 03 Jun 2016 18:39:18 GMT Пиши ещё - мнение вендузоеда-на-каникулах очень важно для нас.<br> https://opennet.ru/openforum/vsluhforumID3/108118.html#19 Fri, 03 Jun 2016 10:34:39 GMT &gt; Поднимаешь ее только в namespaces в которые пушишь свои избранные проги. <br><br>Мне кажется все дочерние процессы также будут иметь доступ в интернет.<br>Это не как в виндоус. Там ограничение по полному пути exe-программы.<br> https://opennet.ru/openforum/vsluhforumID3/108118.html#18 Fri, 03 Jun 2016 05:19:57 GMT &gt; lxc/docker. И overlayfs чтобы место на диске не перерасходовать.<br><br>А зачем? Сабж умеет "временные" пустышки создавать и компоновать вид ФС монтированием. Да еще системные вызовы грамотно обрубает, так что вылезти из грамотно сделанного контейнеа будет достаточно сложно. Эти в отличие от докеров занимались не пиаром а системным программированием.<br> https://opennet.ru/openforum/vsluhforumID3/108118.html#17 Fri, 03 Jun 2016 05:18:22 GMT &gt; Запретить отдельно взятому приложению доступ в Интернет позволяет? <br><br>Да. Можно даже веселее: убираешь сеть в дефолтном namespace. Поднимаешь ее только в namespaces в которые пушишь свои избранные проги. Можешь интерфейс в новый namespace переместить, или создать новый MACVLAN на существующем ифэйсе (сабж это умеет).<br><br>Вообще, да будет вам не лень прочитать "man ip" от корки до корки, узнаете что Linux умеет делать с сетями очень многое. О половине из этого вы даже не мечтали, а оно есть.<br> https://opennet.ru/openforum/vsluhforumID3/108118.html#16 Fri, 03 Jun 2016 05:14:25 GMT &gt; Если ипользовать Firejail, то можно default route поменять в контейнере?<br><br>Создай новый сетевой нэймспэйс и получи свои сетевые адаптеры, правила фаера, маршруты и прочее. Настоящая виртуальная машина со скоростью как у чрута.<br> https://opennet.ru/openforum/vsluhforumID3/108118.html#15 Fri, 03 Jun 2016 00:30:57 GMT Речь идёт о гуёвых приложениях, ещё и требующих доступа к USB-железу, например, так что про Docker сомневаюсь, LXC - хз. <br>