commit -m "better"

Будни #bootstrap

Запилил новый способ запуска пользовательской сессии - через отдельный pid namespace, и mount namespace.

pid namespace - чтобы не видеть лишнего, очень удобно:

pg:home# pstree
dbus-run-sessio─┬─alacritty─┬─bash───mc───bash
                │           └─31*[{alacritty}]
                ├─alacritty─┬─bash───pstree
                │           └─31*[{alacritty}]
                ├─dbus-daemon
                ├─mako
                ├─niri───15*[{niri}]
                ├─swaybg
                └─waybar───17*[{waybar}]

Ну и mount namespace, чтобы /bin глядела в мой #realm, а не в системный:

pg:home# ls -la /bin
lrwxrwxrwx 1 pg pg 15 Sep 20 21:23 /bin -> ix/realm/pg/bin

То есть, я полностью изолирую свою сессию от системного окружения, даже управляющие сокеты оставляю минимально:

pg:home# find /var/run/ | grep -v std
/var/run/
/var/run/sndiod
/var/run/sndiod/sock0
/var/run/seatd
/var/run/seatd/seatd.sock
/var/run/dbus
/var/run/dbus/system_bus_socket

Не полноценная виртуализация, но контейнеризация, с большим набором ограничений.

В итоге, твоя сессия - это только твои процессы, и твои файлы, а для остального есть sudo.

Наверное, что-то похожее делает https://www.talos.dev/

TALOS LINUX

Talos Linux The Kubernetes Operating System What is Talos Linux? Talos Linux is Linux designed for Kubernetes – secure, immutable, and minimal.

❤14🔥8🆒4👍3😁2🤔2🤯1🤡1👀1

www.tgoop.com/itpgchannel/3416

1.14K viewsedited  Sep 20 at 18:36

Будни #bootstrap

Запилил новый способ запуска пользовательской сессии - через отдельный pid namespace, и mount namespace.

pid namespace - чтобы не видеть лишнего, очень удобно:

pg:home# pstree
dbus-run-sessio─┬─alacritty─┬─bash───mc───bash
                │           └─31*[{alacritty}]
                ├─alacritty─┬─bash───pstree
                │           └─31*[{alacritty}]
                ├─dbus-daemon
                ├─mako
                ├─niri───15*[{niri}]
                ├─swaybg
                └─waybar───17*[{waybar}]

pg:home# ls -la /bin
lrwxrwxrwx 1 pg pg 15 Sep 20 21:23 /bin -> ix/realm/pg/bin

pg:home# find /var/run/ | grep -v std
/var/run/
/var/run/sndiod
/var/run/sndiod/sock0
/var/run/seatd
/var/run/seatd/seatd.sock
/var/run/dbus
/var/run/dbus/system_bus_socket

BY commit -m "better"