Как сделать GUI- chroot?

[AlekseyUbuntu]

Kubuntu 20.10

Основная проблема безопасности- установка программ из непроверенных источников. Например, я ставлю небольшую утилиту с Github- а, для которой разумеется нет ограничивающих политик ни у AppArmor, ни у SELinux. В такой ситуации лучше поставить эту утилиту в отдельную ФС, чтобы она не смогла ничего покоцать в основной системе.
Насколько я понял есть возможность с помощью chroot создать еще один корень системы, доступ из которого в основную систему будет невозможен. Мне хочется:
1. Создать не "кастрированный" вариант ФС, а исходно полностью идентичный основному корню (чтобы были все программы и свистелки). Потом конечно, в каждую систему я буду ставить что- то своё, и они начнут отличаться друг от друга.
2. Иметь легкую возможность переключать GUI между двумя этими корнями туда и обратно (а не входить в новое окружение из командной строки с помощью chroot).

Такое возможно?

p.s. Да, я знаю, что  есть VirtualBox, но мне виртуальные машины менее удобны, чем иметь одну ОС с двумя окружениями.

[andytux]

AlekseyUbuntu, то, что ты описал, в точности соответствует режиму "persistent" в "живой системе". А слово chroot там лишнее.

[AlekseyUbuntu]

AlekseyUbuntu, то, что ты описал, в точности соответствует режиму "persistent" в "живой системе". А слово chroot там лишнее.

Пардон, но я вас совсем не понял: что за режим "persistent"? Что значит в "живой системе"? "А слово chroot там лишнее"- там это где?

[andytux]

там это где?

Там, это - "...между двумя этими корнями туда и обратно".
Режим "persistent" позволяет сохранять изменения в "живой системе". Реализуется монтированием поверх корня, с помошью overlayfs, слоя, в котором и производятся изменения.

Что значит в "живой системе"?

Live.

[AlekseyUbuntu]

там это где?

Там, это - "...между двумя этими корнями туда и обратно".
Режим "persistent" позволяет сохранять изменения в "живой системе". Реализуется монтированием поверх корня, с помошью overlayfs, слоя, в котором и производятся изменения.

Что значит в "живой системе"?

Live.

Надеюсь весь этот бессвязанный текст просто шутка 

[ALiEN]

Насколько я понял есть возможность с помощью chroot создать еще один корень системы, доступ из которого в основную систему будет невозможен.

chroot работает в обе стороны.
 

Например, я ставлю небольшую утилиту с Github- а, для которой разумеется нет ограничивающих политик ни у AppArmor, ни у SELinux. В такой ситуации лучше поставить эту утилиту в отдельную ФС, чтобы она не смогла ничего покоцать в основной системе.

Вам нужны контейнеры:

(Нажмите, чтобы показать/скрыть)

LXC (англ. Linux Containers) — система виртуализации на уровне операционной системы для запуска нескольких изолированных экземпляров операционной системы Linux на одном узле. LXC не использует виртуальные машины, а создаёт виртуальное окружение с собственным пространством процессов и сетевым стеком. Все экземпляры LXC используют один экземпляр ядра операционной системы.

Docker — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации. Позволяет «упаковать» приложение со всем его окружением и зависимостями в контейнер, который может быть перенесён на любую Linux-систему с поддержкой cgroups в ядре, а также предоставляет среду по управлению контейнерами.

[andytux]

В каждой шутке есть доля шутки.

Реализуется монтированием поверх корня, с помошью overlayfs, слоя, в котором и производятся изменения

Самое оно.

не "кастрированный" вариант ФС, а исходно полностью идентичный основному корню

Не идентичный, а сама система будет в нижнем, неизменяемом слое.

в каждую систему я буду ставить что- то своё

А это будет верхний слой.
Чтобы не быть совсем голословным, небольшой пример.

[valrust]

Насколько я понял есть возможность с помощью chroot создать еще один корень системы

У каждого процесса есть атрибут который показывает какой каталог для этого процесса является корнем. Этот атрибут ядро использует, что бы вычислять пути к файлам, которые начинаются с "/". Так же у процесса есть атрибут cwd, который указывает на текущий рабочий каталог. Этот атрибут ядро использует, что бы вычислять пути к файлам, которые не начинаются с "/". Значения этих атрибутов наследуют дочерние процессы.

chroot не создает нового корня, он просто запускает команду или оболочку с изменённым root.

Изменение chroot не обеспечивает безопасности и изоляции процессов.

[KJOI]

Kubuntu 20.10

Основная проблема безопасности- установка программ из непроверенных источников. Например, я ставлю небольшую утилиту с Github- а, для которой разумеется нет ограничивающих политик ни у AppArmor, ни у SELinux. В такой ситуации лучше поставить эту утилиту в отдельную ФС, чтобы она не смогла ничего покоцать в основной системе.
Насколько я понял есть возможность с помощью chroot создать еще один корень системы, доступ из которого в основную систему будет невозможен. Мне хочется:
1. Создать не "кастрированный" вариант ФС, а исходно полностью идентичный основному корню (чтобы были все программы и свистелки). Потом конечно, в каждую систему я буду ставить что- то своё, и они начнут отличаться друг от друга.
2. Иметь легкую возможность переключать GUI между двумя этими корнями туда и обратно (а не входить в новое окружение из командной строки с помощью chroot).

Такое возможно?

p.s. Да, я знаю, что  есть VirtualBox, но мне виртуальные машины менее удобны, чем иметь одну ОС с двумя окружениями.

Есть такая штука, делает именно то что вы хотите. Можно даже создавать корни разных платформ дистрибутивов и работать либо в них, либо из хоста, делать и уродовать как угодно.

Но по сути то что вы хотите это боксы типа докера или визуализация OpenVZ.
Хотя мне не понятно почему нельзя просто создать нового пользователя ограничить ему права и работать от него.