Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Как сделать GUI- chroot?  (Прочитано 498 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AlekseyUbuntu

  • Автор темы
  • Активист
  • *
  • Сообщений: 353
    • Просмотр профиля
Как сделать GUI- chroot?
« : 08 Декабрь 2020, 09:01:17 »
Kubuntu 20.10

Основная проблема безопасности- установка программ из непроверенных источников. Например, я ставлю небольшую утилиту с Github- а, для которой разумеется нет ограничивающих политик ни у AppArmor, ни у SELinux. В такой ситуации лучше поставить эту утилиту в отдельную ФС, чтобы она не смогла ничего покоцать в основной системе.
Насколько я понял есть возможность с помощью chroot создать еще один корень системы, доступ из которого в основную систему будет невозможен. Мне хочется:
1. Создать не "кастрированный" вариант ФС, а исходно полностью идентичный основному корню (чтобы были все программы и свистелки). Потом конечно, в каждую систему я буду ставить что- то своё, и они начнут отличаться друг от друга.
2. Иметь легкую возможность переключать GUI между двумя этими корнями туда и обратно (а не входить в новое окружение из командной строки с помощью chroot).

Такое возможно?

p.s. Да, я знаю, что  есть VirtualBox, но мне виртуальные машины менее удобны, чем иметь одну ОС с двумя окружениями.
« Последнее редактирование: 08 Декабрь 2020, 09:34:04 от AlekseyUbuntu »

Оффлайн andytux

  • Старожил
  • *
  • Сообщений: 4478
    • Просмотр профиля
Re: Как сделать GUI- chroot?
« Ответ #1 : 08 Декабрь 2020, 09:36:33 »
AlekseyUbuntu, то, что ты описал, в точности соответствует режиму "persistent" в "живой системе". А слово chroot там лишнее.

Оффлайн AlekseyUbuntu

  • Автор темы
  • Активист
  • *
  • Сообщений: 353
    • Просмотр профиля
Re: Как сделать GUI- chroot?
« Ответ #2 : 08 Декабрь 2020, 09:48:49 »
AlekseyUbuntu, то, что ты описал, в точности соответствует режиму "persistent" в "живой системе". А слово chroot там лишнее.

Пардон, но я вас совсем не понял: что за режим "persistent"? Что значит в "живой системе"? "А слово chroot там лишнее"- там это где?

Оффлайн andytux

  • Старожил
  • *
  • Сообщений: 4478
    • Просмотр профиля
Re: Как сделать GUI- chroot?
« Ответ #3 : 08 Декабрь 2020, 11:43:06 »
Цитировать
там это где?
Там, это - "...между двумя этими корнями туда и обратно".
Режим "persistent" позволяет сохранять изменения в "живой системе". Реализуется монтированием поверх корня, с помошью overlayfs, слоя, в котором и производятся изменения.
Цитировать
Что значит в "живой системе"?
Live.

Оффлайн AlekseyUbuntu

  • Автор темы
  • Активист
  • *
  • Сообщений: 353
    • Просмотр профиля
Re: Как сделать GUI- chroot?
« Ответ #4 : 08 Декабрь 2020, 12:45:41 »
Цитировать
там это где?
Там, это - "...между двумя этими корнями туда и обратно".
Режим "persistent" позволяет сохранять изменения в "живой системе". Реализуется монтированием поверх корня, с помошью overlayfs, слоя, в котором и производятся изменения.
Цитировать
Что значит в "живой системе"?
Live.

Надеюсь весь этот бессвязанный текст просто шутка  :)

Оффлайн ALiEN175

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 4717
  • Capture the truth
    • Просмотр профиля
Re: Как сделать GUI- chroot?
« Ответ #5 : 08 Декабрь 2020, 13:00:14 »
Насколько я понял есть возможность с помощью chroot создать еще один корень системы, доступ из которого в основную систему будет невозможен.
chroot работает в обе стороны.
 
Например, я ставлю небольшую утилиту с Github- а, для которой разумеется нет ограничивающих политик ни у AppArmor, ни у SELinux. В такой ситуации лучше поставить эту утилиту в отдельную ФС, чтобы она не смогла ничего покоцать в основной системе.
Вам нужны контейнеры:
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 08 Декабрь 2020, 13:10:35 от ALiEN175 »
ASUS P5K-C :: Intel Xeon E5450 :: 8 GB RAM :: Radeon R7 260X :: XFCE
SAMSUNG N150 :: Intel Atom N450 :: 2 GB RAM :: Intel GMA3150 :: XFCE

Оффлайн andytux

  • Старожил
  • *
  • Сообщений: 4478
    • Просмотр профиля
Re: Как сделать GUI- chroot?
« Ответ #6 : 08 Декабрь 2020, 13:00:53 »
В каждой шутке есть доля шутки.
Цитировать
Реализуется монтированием поверх корня, с помошью overlayfs, слоя, в котором и производятся изменения
Самое оно.
Цитировать
не "кастрированный" вариант ФС, а исходно полностью идентичный основному корню
Не идентичный, а сама система будет в нижнем, неизменяемом слое.
Цитировать
в каждую систему я буду ставить что- то своё
А это будет верхний слой.
Чтобы не быть совсем голословным, небольшой пример.
« Последнее редактирование: 08 Декабрь 2020, 13:30:58 от andytux »

Оффлайн valrust

  • Активист
  • *
  • Сообщений: 285
    • Просмотр профиля
Re: Как сделать GUI- chroot?
« Ответ #7 : 08 Декабрь 2020, 20:10:39 »
Насколько я понял есть возможность с помощью chroot создать еще один корень системы

У каждого процесса есть атрибут который показывает какой каталог для этого процесса является корнем. Этот атрибут ядро использует, что бы вычислять пути к файлам, которые начинаются с "/". Так же у процесса есть атрибут cwd, который указывает на текущий рабочий каталог. Этот атрибут ядро использует, что бы вычислять пути к файлам, которые не начинаются с "/". Значения этих атрибутов наследуют дочерние процессы.

chroot не создает нового корня, он просто запускает команду или оболочку с изменённым root.

Изменение chroot не обеспечивает безопасности и изоляции процессов.

Оффлайн KJOI

  • Участник
  • *
  • Сообщений: 242
  • ALT Linux
    • Просмотр профиля
Re: Как сделать GUI- chroot?
« Ответ #8 : 08 Декабрь 2020, 23:29:52 »
Kubuntu 20.10

Основная проблема безопасности- установка программ из непроверенных источников. Например, я ставлю небольшую утилиту с Github- а, для которой разумеется нет ограничивающих политик ни у AppArmor, ни у SELinux. В такой ситуации лучше поставить эту утилиту в отдельную ФС, чтобы она не смогла ничего покоцать в основной системе.
Насколько я понял есть возможность с помощью chroot создать еще один корень системы, доступ из которого в основную систему будет невозможен. Мне хочется:
1. Создать не "кастрированный" вариант ФС, а исходно полностью идентичный основному корню (чтобы были все программы и свистелки). Потом конечно, в каждую систему я буду ставить что- то своё, и они начнут отличаться друг от друга.
2. Иметь легкую возможность переключать GUI между двумя этими корнями туда и обратно (а не входить в новое окружение из командной строки с помощью chroot).

Такое возможно?

p.s. Да, я знаю, что  есть VirtualBox, но мне виртуальные машины менее удобны, чем иметь одну ОС с двумя окружениями.
Есть такая штука, делает именно то что вы хотите. Можно даже создавать корни разных платформ дистрибутивов и работать либо в них, либо из хоста, делать и уродовать как угодно.

Но по сути то что вы хотите это боксы типа докера или визуализация OpenVZ.
Хотя мне не понятно почему нельзя просто создать нового пользователя ограничить ему права и работать от него.  ???
Русский Линукс: https://www.basealt.ru/products/simplylinux/
Мой проект git «Kernel Manager» linux: https://github.com/Koi-foo/kernel-manager/

 

Страница сгенерирована за 0.087 секунд. Запросов: 25.