lxcex

Легкая ориентированная на конфиденциальность операционная система настольной системы на основе Devuan и LXC. Проект самообразования, и еще одна попытка сделать альтернативу ОС Qubes. Это еще не дистрибутив и, вероятно, никогда не будет. Это набор файлов и исправлений, простой скрипт makecex и инструкция по LFS.

Работа в процессе.

• Базовая система (хост -система или DOM0 с точки зрения QUBE) работает.
• Сетевой контейнер управляет всеми физическими устройствами, запускает брандмауэр и Apt-Cacher-NG.
• Виртуальная внутренняя сеть предоставляет действительно статические IP -адреса контейнерам, что делает более или менее сложную маршрутизацию, когда изменяются внешний IP -адрес и/или устройства.
• Дополнительные сетевые контейнеры могут запускать различные VPN для работы, развлечений, банковского дела и т. Д.
• Пользовательские контейнеры запускают Уэстон, Кейдж, Xwayland и т. Д. Случай, которые вкладываются в Sway.

На данный момент эта система отражает мой опыт и полна личных предпочтений. Некоторые из них довольно необоснованные. Клянусь, я избаюсь от них, как только количество пользователей выйдет за пределы 1,5. Но в общем, обоснование заключается в следующем:

• Держите поверхность атаки и поверхность отпечатков пальцев как можно меньше, насколько это возможно
• Сделайте правдоподобное отрицание

Способный носитель с живой системой может быть создан с помощью MakeCex. Вам понадобится PPA, который можно создать с помощью сценариев подготовки и построения.

На данный момент только устаревший режим загрузки поддерживается для AMD64.

Сценарий содержит параметры в начале, внимательно пересматривайте их перед запуском. Вы можете написать модифицированные параметры на makecex.conf вместо того, чтобы вносить изменения в сценарий.

• Глава 1. Установка базовой системы с DebootStrap
• Глава 2. Основная сеть
• Глава 3. LXC и базовый контейнер
• Глава 4. Сеть
• Глава 5. Среда рабочего стола
• Глава 6. Pipwire
• Глава 7. Правдоподобное отрицание
• Глава 8. Обмен файлами

Секция проектов/песочницы.

С тех пор, как LXCEX перешел на Mounts, разрешения на файлы стали более важными. С uidmapshift все данные контейнера были недоступны от непривилегированного пользователя в базовой системе. Это больше не относится к идентификационным креплениям, потому что непривилегированные пользователи в базовой системе и контейнерах имеют общие идентификаторы.

Убедитесь, что все подкатарии в /var/lib/lxc имеют минимальные разрешения и не читаются, по other мере. То же самое относится и к данным контейнера, хранящимися в другом месте.

Тем не менее, для работы идентификаторов, минимальные разрешения должны включать в себя обход каталогов для других. Это может быть проработано с использованием setfacl , но это избыточное вес в удобстве.

Если все вышеперечисленное является проблемой безопасности, не используйте идентификационные крепления.

• Что -то разбивает /dev/ptmx через некоторое время.
• Под Уэстоном выпадающие меню в Кейт появляются со значительной задержкой. Символы выглядят как описанные в запросе слияния 1123
• Weston Terminal не чтит оболочку пользователя от /etc /passwd и использует sh если Weston запускается Runit, где родительская оболочка sh .
• При максимизации хрома верхняя левая позиция иногда остается неизменной.
• Копия из Кейт в Уэстон Терминал бросает новички. Это может быть меры безопасности, но тогда я бы тогда хотел бы диалог. То же, что и в Linuxmint.

• Избавьтесь от жестко -кодированного lxcex , позвольте пользователю настраивать это?
• Найдите лучший способ создать/запустить/пользователь/в контейнерах
• Автоматическое перемещение сетевых адаптеров в контейнер (правило UDEV?)
• DHCP
• улучшить UX
• копировать вставку в контейнерах
• Pipewire (видео)
• LibreOffice жаловатся /Proc не установлен. Что, извините, черт возьми? Даже такая вредоносная программа, как современные веб -браузеры, не нуждается в этом. Учитывая, что это действительно установлено. С ограничениями.

• Приличная панель для качания.
• Отключите украшение окон в бэкэнде Уэстона, не только без головы.
• Приличная замена Рунита.
• Композиторы на основе Weston и WLROOTS закрывают сеанс, когда соединение с розеткой теряется. Нужно повторно подключить функцию.

• Пересмотренное совместное использование наконец. См. Обновленную главу 8.
• Перенесено в идентификационные rootfs. uidmapshift на данный момент. В качестве замены для ls -l /var/lib/lxc , который показал идентификаторы uidmapshift ED, контейнеры, теперь существует сценарий lxcex-idmap , который показывает подчиненные идентификаторы пользователей для каждого контейнера, который использует IDMAP.

Хорошо, брось здесь линию. Я все еще кажется единственным пользователем всего этого дерьма, и, как говорят мои африканские друзья: «Даз хорошо!»

Множество функций разыскиваются. Номер один - избавиться от Рунита. Номер два - UI UTILS. Все остальные желают - это просто мелочи.

Все идет нормально. Новая глава 8 вышла.

Три месяца с момента создания, и теперь я могу сказать, что прощай, Linuxmint. LXCEX с этого момента находится на всех моих ноутбуках.

Основные обновления:

• Исполнения, конечно.
• Старт-пользователи-контейнеры теперь обнаруживают запущенную системную композитор, поэтому гораздо проще запускать контейнеры с графическим интерфейсом вручную.
• Dist-Up-Upgrade Script
• Глава 7

Еще одна веха: MakeCex отсутствует! Этот скрипт генерирует загрузочный носитель. Не чрезмерно проверенный, это работает только для меня.

Packages Repo вышел. На данный момент единственный пакет есть UIDMAPSHIFT. Планируйте добавить исправленную версию Libpulse, таким образом, избавление от File Lixer.

Хотя смерть от смеха не является моей конечной целью, я должен был добавить для меня ключ подписания, анонимный.

Автоматизация уже в пути. Началось после того, как мне удалось сбить систему, просто сняв/var/lib/lxc с работающими контейнерами. Не понял, что это так опасно. Это действие уничтожило все установленные перегородки, включая резервную USB -палку, которая не имела к этому никакого отношения. Почему???

Он играет музыку! Первоначальная версия главы 6 вышла, чтобы быть обновленной.

Среда настольных компьютеров XFCE работает!

Тег: 0,0,2

• Разное настройки.
• Сделано-нет-установки-резомментирования опции по умолчанию, главы 1-4 нуждаются в тестировании.

Первоначальный коммит и выпуск.

Вы можете задаться вопросом, как выпустить apt upgrade для дюжины контейнеров, включая базовую систему. Вот для чего предназначен скрипт Dist-Uplegrade. Он основан на lxcex-chroot, который выполняет арбитражную команду, правильно, чтобы получить корневики контейнера.

Они застали в соответствии с соответствующими репозиториями, поэтому стоит следовать их инструкциям

На момент написания, Firefox (версия 123) использует Wayland по умолчанию. Если вы помните, Wayland_display сбросится в /HOME/USER/.config/sv/xfce4/run, и это заставляет Firefox войти в бесконечный цикл, говорящий

Warning: ConnectToCompositor() try again : Connection refused

Есть два варианта:

• Добавить -display =: 0.0 Опция командной строки
• Установить Wayland_display при запуске Firefox

Я попробовал оба. Первоначально я выбрал последний, используя сценарий:

 #!/bin/sh

if [ -n "$X_WAYLAND_DISPLAY" ] ; then
    export WAYLAND_DISPLAY=$X_WAYLAND_DISPLAY
else
    # fallback
    export WAYLAND_DISPLAY=wayland-1
fi

firefox

Тем не менее, это делает Copy Paste-ведущим, поэтому я сейчас вернулся в X-режим.

Мои первоначальные настройки были странными и хрупкими просто из -за отсутствия понимания общих подтежников.

• https://www.kernel.org/doc/html/latest/filesystems/sharedsubtree.html
• https://lwn.net/articles/689856/

Вот решение:

1. Сделайте немного рекурсивно. Вы не можете сделать произвольный каталог в файловой системе Rshared (это была моя точка недопонимания), это должна быть фактическая точка монтирования, то есть каталог, где установлена ​​некоторая файловая система.

   Я хочу использовать /mnt/autofs для автофировки, поэтому давайте установим там TMPFS и RSHARE IT:

    mkdir -p /mnt/autofs
   mount -t tmpfs -o size=64K --make-rshared tmpfs /mnt/autofs
   mkdir /mnt/autofs/myserver
   

2. Создать конфигурацию Autofs:

    mkdir /etc/auto.maps
   echo "/mnt/autofs/myserver /etc/auto.maps/myserver" >/etc/auto.master.d/myserver.autofs
   echo "shared-dir myserver.example.com:/var/share/top-secret" >/etc/auto.maps/myserver
   

   и перезапустить автоф.

3. Добавьте следующую строку в конфигурацию контейнера:

    lxc.mount.entry = /mnt/autofs mnt/autofs none create=dir,rbind 0 0
   

Начните контейнер. Внутри, ls /mnt/myserver/shared-dir должен работать, как и ожидалось.

Тем не менее, пользователь: группа будет никто: Nogroup и я понятия не имеем, как настроить правильное отображение идентификатора.

menulibre выглядит довольно раздуточным и в настоящее время полностью сломана в Excalibur. Тем не менее, довольно легко редактировать меню вручную:

• Все записи меню перечислены в .config/menus/xfce-applications.menu
• Файлы конфигурации для каждой записи находятся в .local/share/applications

Контейнеры отлично подходят для изоляции рабочих пространств, как если бы они работали на отдельных машинах. Это значительно упрощает такие вещи, как сеть, которые слишком подвержены ошибкам или невозможно поддерживать в одной системе.

Но на уровне контейнеров все остается неизменным: одному домашнему каталогу, где все приложения имеют полный доступ к данным пользователя.

Это опасно. Потенциально, каждая программа, которая использует сеть, может утечь ваши конфиденциальные данные, даже непредвиденные.

По сути, все программы, которые работают с вашими данными, должны выполняться в контейнере с инвалидами, и, вероятно, в конечном итоге я получу такую ​​договоренность.

Но сейчас у меня есть несколько устаревших сред, каждая из которых работает в своем собственном контейнере. Временное решение, которое я развернул в этих контейнерах, является ограниченным сетевым доступом к сети для основного пользователя и запускаю все сетевые программные обеспечения в качестве разных пользователей. Это программное обеспечение включает в себя браузеры Firefox, Chromium, Mullvad и Tor, а также Thunderbird. Конечно, некоторые уже поддерживают Уэйленд, но у LXCEX все еще есть проблемы с копией, и это фактор блокировки для их национального.

Вот установка, на примере Firefox, который можно использовать в качестве шаблона для других программ.

Во -первых, создайте отдельного пользователя:

 useradd -g users --skel /etc/skel --shell /bin/bash --create-home firefox

Затем переместите каталоги:

 mkdir /home/firefox/.cache
mv /home/user/.mozilla /home/firefox/
mv /home/user/.cache/firefox /home/firefox/.cache/
chown -R firefox /home/firefox

Далее подготовьте сценарий /usr/local/bin/start-firefox :

 #!/bin/sh

USER=firefox

if [ -z "$1" ] ; then
    xhost +SI:localuser:$USER
    exec sudo $0 dosu
elif [ "$1" = "dosu" ] ; then
    exec su -l -c "$0 run" $USER
elif [ "$1" = "run" ] ; then
    cd /home/$USER
    . /usr/local/share/lxcex-xdg.sh
    export DISPAY=:0.0
    exec firefox --display=:0.0
fi

На самом деле, переменная среды DISPLAY здесь не требуется, но этот скрипт можно использовать в качестве шаблона для запуска других приложений, поэтому я намеренно оставил его.

Наконец, Create /etc/sudoers.d/50-start-firefox (увы, требуется sudo):

 user ALL = NOPASSWD: /usr/local/bin/start-firefox dosu

Вам может потребоваться изменять запись меню XFCE. И чтобы добавить опцию -p в первый раз, в противном случае Firefox может начать с пустого профиля.

Это хорошая идея, чтобы поделиться каталогом Downloads . Предыдущий подход был групповым каталогом с символическими ссылками, но лучшим способом является lxces-share .

Пусть Downloads Direcroty будут в домашнем каталоге user , как и раньше. Затем создайте следующий sharetab для контейнера:

 /var/lib/lxc/<container-name>/rootfs/home/user/Downloads  firefox  /home/firefox/Downloads

И используйте крючки в конфигурации контейнера, как показано в главе 8:

 lxc.hook.pre-start = /usr/local/bin/lxcex-share
lxc.hook.mount     = /usr/local/bin/lxcex-share
lxc.hook.start     = /usr/local/bin/lxcex-share
lxc.hook.post-stop = /usr/local/bin/lxcex-share

• Awesome Wayland: кураторский список кода и ресурсов Уэйленда.
• Sway Wiki
• Гид трубопроводов
• О XWAYLAND. Однако -жометрия не работает для меня.
• Lumina: Sans-Bloatware Desktop Environment
• Гипербола: еще один удивительный проект с сильной философией

Обнаружил эту статью, когда написал главу 6: https://discuss.linuxcontainers.org/t/audio-via-pulseaudio-inside-container/8768 они используют LXD, и стоит взглянуть на прокси в реализации OD Socket. Можем ли мы использовать их для сохранения розетки контейнера и воссоединиться с гнездом хоста, когда базовый композитор перезагружается? Или когда контейнер возобновляется из спячки?

Снова,

• https://www.kernel.org/doc/documentation/filesystems/sharedsubtree.txt
• https://lwn.net/articles/689856/

Я не понял, почему мне пришлось

mount --make-shared /run

т.е. /run , а не /run/user , если я сделал mount --rbind /run/user "${LXC_ROOTFS_MOUNT}/run/host/run/user" в контейнерах и хотел, чтобы все подразделения UID распространяли.

После того, как он перечитывал, что несколько раз это должно быть ясно, в конце концов.

smartd является наиболее надежным инструментом для отключения Spindowns HDD до сих пор:

1. Редактировать /etc/default/smartmontools :

    smartd_opts="--interval=10 --attributelog=- --savestate=-"
   

   Ключевой вариант - --interval , другие отключают состояние сбережений, которое мне никогда не нужно.
2. Убедитесь, что вариант -n never находится в etc/smartd.conf , т.е.

    DEVICESCAN -d removable -n never -m root -M exec /usr/share/smartmontools/smartd-runner
   

Мои дополнительные пакеты, только для записи.

• Шрифты: gnome-font-viewer , выглядит ненужно
• Изображения: gthumb
• Кейт: При установке в XFCE ей нужна какая -то тема. Я использовал breeze-icon-theme .
• KDE systemsettings : установлен на всякий случай, нулевая прибыль до сих пор.
• Ungoogled Chromium потребности: libnss3 , libasound2