Pull to refresh

Comments 4

Линуксу отчаянно нужен нормальный стандарт контейнеров. В частности десктопный линукс не выстрелит пока не появится возможность скачать-и-запустить произвольную программу.
Вопрос по существу — а как обстоят дела с сэндбоксингом и правами доступа? Есть ли или планируются ли какие-то общие стандарты в этом направлении, что они покрывают.

НУ Docker как раз этим сейчас и занимается. Так что все будет хорошо. :)

Если организация докер этим занимается — я хочу об этом услышать. Сам по себе докер как платформа о другом — сборка контейнеров, инструментарий для этого. Да и идея тянуть https://hub.docker.com/ в ядро (или как минимум делать стандартной частью дистрибутива) имхо лишена смысла. В докере много всего разного но оно всё не о том

В этой области делается и сделано довольно много. Про десктопную часть — есть flatpak/xdg-app (от freedesktop/gnome), snap (от ubuntu). Пока развиваются, можно надеяться, что через пару-тройку лет устаканится. Насколько хороший там sandboxing — не знаю. Flatpak использовал cgroups/namespaces. Используется ли seccomp — хз.


Если говорить про OCI, Docker, Rocket и прочее — runtime-spec от OCI позволяет настраивать sandboxing, см. параметры для linux. Поддерживаются вещи, начиная от rlimits, заканчивая selinux/apparmor, seccomp, namespaces и cgroups.

Sign up to leave a comment.