lxcex

DevuanとLXCに基づく軽量プライバシーに焦点を当てたデスクトップオペレーティングシステム。自己教育のためのプロジェクト、およびQubes OSの代替案を作成するもう1つの試み。これはまだディストリビューションではなく、おそらく決してそうすることはありません。これは、ファイルとパッチのセット、単純なmakecexスクリプト、およびLFSの命令です。

進行中の作業。

• ベースシステム（ホストシステム、またはqubesの観点から）は動作しています。
• ネットワーキングコンテナは、すべての物理デバイスを管理し、ファイアウォールを実行し、Apt-Cacher-NGを実行します。
• 仮想内部ネットワークは、コンテナに真の静的なIPアドレスを提供し、外部IPアドレスやデバイスが変更されると、多かれ少なかれ複雑なルーティングを堅牢にします。
• 追加のネットワーキングコンテナは、仕事、エンターテイメント、銀行などのために異なるVPNを実行する場合があります。
• ユーザーコンテナは、Weston、Cage、Xwaylandなどを実行します。

現時点では、このシステムは私の経験を反映しており、個人的な好みに満ちています。それらのいくつかは非常に根拠がありません。ユーザーの数が1.5を超えるとすぐに、私はそれらを取り除くことを誓います。しかし、一般的に、理論的根拠は次のとおりです。

• 攻撃の表面と指紋表面をできるだけ小さくしてください
• もっともらしい否定を簡単にします

ライブシステムを備えた起動可能なメディアは、Makecexで生成できます。スクリプトを準備および構築することで作成できるPPAが必要です。

今のところ、AMD64ではレガシーブートモードのみがサポートされています。

スクリプトには最初にパラメーターが含まれており、実行する前に注意深く修正します。スクリプトを変更する代わりに、変更されたパラメーターをmakecex.confに記述できます。

• 第1章。DeBootStrapを使用したベースシステムのインストール
• 第2章。基本的なネットワーキング
• 第3章。LXCおよびベースコンテナ
• 第4章。ネットワーキング
• 第5章。デスクトップ環境
• 第6章。配管
• 第7章。もっともらしい否定性
• 第8章。ファイルの共有

ドラフト/サンドボックスセクション。

LXCEXはIDMappedマウントに移動したため、ファイル許可がより重要になりました。 uidmapshiftを使用すると、すべてのコンテナデータは、ベースシステム上の非特権ユーザーからアクセスできませんでした。 Base SystemおよびContainerが共通のIDを搭載しているため、IDMapped Mountsの場合はそうではありません。

/var/lib/lxcのすべてのサブディレクトリには、最小限の権限があり、少なくともotherが読み取れないことを確認してください。同じことが、他の場所に保存されているコンテナデータにも当てはまります。

ただし、IDMAPPEDマウントが機能するには、最小限の権限には、他の人のディレクトリトラバーサルを含める必要があります。これは、 setfaclを使用して回避できますが、そのcomlicationは利便性を過ぎています。

上記がすべてセキュリティの懸念である場合、IDMappedマウントを使用しないでください。

• しばらくすると、何かが粉砕/dev/ptmx 。
• ウェストンでは、ケイトのドロップダウンメニューが大幅に遅れて表示されます。シンプトムは、マージリクエスト1123で説明されているように見えます
• Westonターミナルは、 /etc /passwdからユーザーのシェルを尊重せず、WestonがRunitによって開始された場合、 sh sh使用します。
• Chromiumを最大化すると、左上位置が変更されないままになります。
• ケイトからウェストンターミナルへのコピーパスティングはニューラインをドロップします。これはセキュリティの予防措置かもしれませんが、その後ダイアログが欲しいです。 LinuxMintと同じです。

• ハードコーディングされたlxcexを取り除き、ユーザーにそれをカスタマイズしてもらいますか？
• コンテナで作成/run/user//で作成する最良の方法を見つけます
• 自動移動ネットワークアダプターはコンテナに移動します（udevルール？）
• DHCP
• UXを改善します
• コンテナ間のコピーパステ
• Pipewire（ビデオ）
• Libreofficeが不平を言う /Procはマウントされていません。すみません、クソ？最新のWebブラウザーのようなマルウェアでさえ、それを必要としません。確かにそれが取り付けられていることを考えると。制限付き。

• 揺れのためのまともなパネル。
• ヘッドレスだけでなく、ウェストンのウェイランドバックエンドで窓飾りを無効にします。
• Runitの適切な交換。
• ソケットへの接続が失われたとき、ウェストンとwlrootsベースのコンポジタはセッションを閉じます。再接続機能が必要です。

• ついに改訂された共有。更新された第8章を参照してください。
• iDMapped rootfsに移動しました。今のところuidmapshiftを維持します。 uidmapshift edのIDを示したls -l /var/lib/lxcの代替として、コンテナ、IDMAPを使用する各コンテナの従属ユーザーIDを表示するlxcex-idmapスクリプトがあります。

さて、ここに線を落とします。私はまだこのすべてのたわごとの1人のユーザーであるように見えますが、アフリカの友人が言うように、「Daz Good！」

たくさんの機能が必要です。ナンバーワンは、Runitを取り除くことです。 2番目はUI UTILSです。他のすべての願いはちょっとしたことです。

ここまでは順調ですね。新しい第8章が出ています。

創業から3か月、そして今、私は別れ、LinuxMintと言うことができます。 LXCEXは、これから私のすべてのラップトップにあります。

主要な更新：

• もちろん、バグフィックス。
• Start-User-Containersは、実行中のシステムCompositorを検出するようになりました。そのため、GUIコンテナを手動で実行する方がはるかに簡単になります。
• スクリプトを延長します
• 第7章

さらに別のマイルストーン：Makecexが出ています！このスクリプトは、起動可能なメディアを生成します。過度にテストされていませんが、それは私だけのために機能します。

パッケージリポジトリが出ています。今のところ、唯一のパッケージはuidmapshiftです。 PathedバージョンのLibpulseを追加することを計画しているため、ファイル許可フィクサーを取り除きます。

笑いからの死は私の究極の目標ではありませんが、私は匿名の署名キーを追加しなければなりませんでした。

自動化が進行中です。実行中のコンテナを使用して/var/lib/lxcを再開するだけで、システムをクラッシュさせることができた後に始まりました。それがそれほど危険であることに気づきませんでした。このアクションは、それとは関係のないバックアップUSBスティックを含むすべてのマウントされたパーティションを破壊しました。なぜ？？？

音楽を演奏します！第6章の初期バージョンが更新されます。

XFCEデスクトップ環境が機能しています！

タグ：0.0.2

• その他。微調整。
• MADE-NO-INSTALL-CROMENDS DEFAULT OPTION、Chapters 1-4はテストする必要があります。

最初のコミットとリリース。

ベースシステムを含む数十のコンテナのapt upgradeをどのように発行するか疑問に思うかもしれません。それがDist-Upgradeスクリプトの目的です。 Arbitratyコマンドを実行するLxcex-Chrootに基づいており、コンテナのrootfに適切にクルーティングされています。

彼らはaptリポジトリを削ったので、彼らの指示に従う価値があります

執筆時点で、Firefox（バージョン123）はデフォルトでWaylandを使用しています。覚えている場合、Wayland_displayは/home/user/.config/sv/xfce4/runでリセットされています。

Warning: ConnectToCompositor() try again : Connection refused

2つのオプションがあります。

• -display =：0.0コマンドラインオプションを追加します
• Firefoxを実行するときにWayland_displayを設定します

両方を試しました。最初は、スクリプトを使用して後者を選択しました。

 #!/bin/sh

if [ -n "$X_WAYLAND_DISPLAY" ] ; then
    export WAYLAND_DISPLAY=$X_WAYLAND_DISPLAY
else
    # fallback
    export WAYLAND_DISPLAY=wayland-1
fi

firefox

ただし、これによりコピーペーストが面倒なので、今のところXモードに戻りました。

私の最初のセットアップは、単に共有サブツリーの理解がないため、奇妙で脆弱でした。

• https://www.kernel.org/doc/html/latest/filesystems/sharedsubtree.html
• https://lwn.net/articles/689856/

これが解決策です：

1. いくつかのマウントポイントを再帰的に共有します。ファイルシステムrsharedに任意のディレクトリを作成することはできません（これが私の誤解のポイントでした）、それは実際のマウントポイント、つまりいくつかのファイルシステムがマウントされるディレクトリである必要があります。

   Autofに/mnt/autofsを使用したいので、そこにtmpfsをマウントしてrshareしましょう。

    mkdir -p /mnt/autofs
   mount -t tmpfs -o size=64K --make-rshared tmpfs /mnt/autofs
   mkdir /mnt/autofs/myserver
   

2. AUTOFS構成を作成します：

    mkdir /etc/auto.maps
   echo "/mnt/autofs/myserver /etc/auto.maps/myserver" >/etc/auto.master.d/myserver.autofs
   echo "shared-dir myserver.example.com:/var/share/top-secret" >/etc/auto.maps/myserver
   

   オートフを再起動します。

3. コンテナの構成に次の行を追加します。

    lxc.mount.entry = /mnt/autofs mnt/autofs none create=dir,rbind 0 0
   

コンテナを起動します。内部では、 ls /mnt/myserver/shared-dir予想どおりに機能するはずです。

ただし、ユーザー：グループは誰もいません：Nogroupと私は、正しいIDマッピングをセットアップする方法がわかりません。

menulibreちょっと肥大化しているように見え、現在はExcaliburで完全に壊れています。ただし、メニューを手動で編集するのは非常に簡単です。

• すべてのメニューエントリは.config/menus/xfce-applications.menuにリストされています
• 各エントリの構成ファイルは.local/share/applicationsにあります

コンテナは、ワークスペースを別々のマシンで実行しているかのように分離するのに最適です。これにより、単一のシステム内でエラーが発生しやすい、または維持することができないネットワークなどが大幅に簡素化されます。

ただし、コンテナレベルでは、すべてが同じです。すべてのアプリケーションがユーザーのデータに完全にアクセスできる単一のホームディレクトリです。

これは危険です。潜在的に、ネットワークを使用するすべてのプログラムは、機密データを漏らし、さらには無意味に漏洩する可能性があります。

基本的に、データを使用して動作するすべてのプログラムは、無効なネットワーキングを備えたコンテナで実行する必要があります。おそらく、そのような取り決めになります。

しかし今のところ、それぞれ独自のコンテナで実行されているレガシーXFCE環境がいくつかあります。これらのコンテナ内に展開した一時的なソリューションは、メインユーザーのネットワークアクセスが制限され、すべてのネットワークソフトウェアを別のユーザーとして実行します。このソフトウェアには、Firefox、Chromium、Mullvad、およびTorブラウザとThunderbirdが含まれます。もちろん、すでにウェイランドをサポートしている人もいますが、LXCEXには依然としてコピーパスティングの問題があり、ネイティブに実行することはブロッキング要因です。

Firefoxの例では、他のプログラムのボイラープレートとして使用できます。

まず、別のユーザーを作成します。

 useradd -g users --skel /etc/skel --shell /bin/bash --create-home firefox

次に、ディレクトリを移動します：

 mkdir /home/firefox/.cache
mv /home/user/.mozilla /home/firefox/
mv /home/user/.cache/firefox /home/firefox/.cache/
chown -R firefox /home/firefox

次に、スクリプト/usr/local/bin/start-firefoxを準備します。

 #!/bin/sh

USER=firefox

if [ -z "$1" ] ; then
    xhost +SI:localuser:$USER
    exec sudo $0 dosu
elif [ "$1" = "dosu" ] ; then
    exec su -l -c "$0 run" $USER
elif [ "$1" = "run" ] ; then
    cd /home/$USER
    . /usr/local/share/lxcex-xdg.sh
    export DISPAY=:0.0
    exec firefox --display=:0.0
fi

実際、ここではDISPLAY環境変数は必要ありませんが、このスクリプトは他のアプリを実行するためにボイラープレートとして使用できますので、意図的に残しました。

最後に、create /etc/sudoers.d/50-start-firefox （残念ながら、sudoが必要です）：

 user ALL = NOPASSWD: /usr/local/bin/start-firefox dosu

XFCEスタートメニューエントリを変更する必要がある場合があります。また、初めて-Pオプションを追加するには、Firefoxが空白のプロファイルから開始する場合があります。

Downloadsディレクトリを共有することをお勧めします。以前のアプローチは、Symlinksを備えたグループに耐えるディレクトリでしたが、最良の方法はlxces-shareです。

以前のように、DirecrotyをuserのホームディレクトリにDownloads 。次に、コンテナ用に次のsharetabを作成します。

 /var/lib/lxc/<container-name>/rootfs/home/user/Downloads  firefox  /home/firefox/Downloads

第8章に示すように、コンテナ構成のフックを使用します。

 lxc.hook.pre-start = /usr/local/bin/lxcex-share
lxc.hook.mount     = /usr/local/bin/lxcex-share
lxc.hook.start     = /usr/local/bin/lxcex-share
lxc.hook.post-stop = /usr/local/bin/lxcex-share

• 素晴らしいウェイランド：ウェイランドコードとリソースのキュレーションされたリスト。
• スウェイウィキ
• Pipewireガイド
• Xwaylandについて。ただし、-Geometryは私には機能しません。
• Lumina：sans-bloatwareデスクトップ環境
• Hyperbola：強力な哲学を備えたさらに別の素晴らしいプロジェクト

第6章を書いたときにこの記事を発見しました：https：//discuss.linuxcontainers.org/t/audio-via-pulseaudio-inside-container/8768彼らはLXDを使用しており、実装ODソケットプロキシを見る価値があります。それらを使用してコンテナソケットを保持し、ベースコンポジタが再起動されたときにホストソケットに再接続できますか？または、コンテナが冬眠から再開するとき？

また、

• https://www.kernel.org/doc/documentation/filesystems/sharedsubtree.txt
• https://lwn.net/articles/689856/

なぜ私がしなければならなかったのかわかりませんでした

mount --make-shared /run

IE /run 、not /run/user mount --rbind /run/user "${LXC_ROOTFS_MOUNT}/run/host/run/user" in contaersで、すべてのuidサブマウントを伝播することを望んでいました。

数回それを再読した後、それは明確になるはずです。

smartd 、これまでのHDDスピンダウンを無効にするための最も信頼できるツールです。

1. 編集/etc/default/smartmontools ：

    smartd_opts="--interval=10 --attributelog=- --savestate=-"
   

   重要なオプションは、 --interval 、他の人は私が必要としなかった保存状態を無効にします。
2. -nオプションがetc/smartd.confにneverを確認してください。

    DEVICESCAN -d removable -n never -m root -M exec /usr/share/smartmontools/smartd-runner
   

記録のためだけの私の余分なパッケージ。

• フォント： gnome-font-viewer 、不要に見えます
• 画像： gthumb
• ケイト：XFCEにインストールすると、テーマが必要です。 breeze-icon-themeを使用しました。
• KDE systemsettings ：念のため、これまでにゼロの利益がインストールされています。
• クロムのないクロムニーズ： libnss3 、 libasound2