На случай рецидива: http://arhivach.org/thread/139593/

>>1571408 (OP)
Бамп годноте. Куда лучше всего завернуть скайп?

>>1571414
Если ты рут - 1001 способ.

>>1571414
http://www.bpfh.net/simes/computing/chroot-break.html

>>1571426
И чо? Если васяноподелие хочет работать под рутом, что будешь делать?

>>1571422
Устанавливаешь прыщеокружение с нужными ему зависимостями и запускаешь при помощи какого-нибудь LXC. Пульс можно прикрутить к пульсу на хосте через сеть, а вместо иксов заюзать Xvnc внутри контейнера или Xephyr/Xwayland снаружи.

>>1571450
Сразу видно ньюфага. Ну да ладно, у тебя всё впереди.

>>1571452
Пиздец какой-то. X же прозрачный протокол. PSH-PSH-audio тоже чтоль?

>>1571459
> X же прозрачный протокол.
Оп-пост читал? Пустив приложение в свои иксы, ты позволишь ему захватывать экран и ввод.
> PSH-PSH-audio тоже чтоль?
Слышал, что скайп без него больше не работает.
Пульс держит кучу протоколов для передачи звука по сети, в т.ч. есть свой (module-native-protocol-tcp).

>>1571408 (OP)

У Контейнеров есть сетевая дырка. Т.к. при создании дефолтных сетевых интерфейсов все контейнеры имеют доступ к локальной сети (к сетевым папкам, к роутуру, к домашним сетевым устройствам (принтеры, телевизоры, файлсерверы)) и к компу (ip) хоста.

Нужно iptables настраивать ...

>>1571408 (OP)
>
>Реализации прыщеконтейнеров:
>— OpenVZ:
>— LXC;
>— Docker:
>— systemd-nspawn:

Ещё есть : Firejail, Rkt, Runc.

>>1571504
>к роутуру

Некоторые юзеры не ставят сложный пароль или используют дефолтный. Ужас-ужас!

>>1571470
>Пустив приложение в свои иксы, ты позволишь ему захватывать экран и ввод.
Если в контейнер сеть не пущена, тоне похрен ли, что оно прочитает с экрана и с ввода? Стучать-то некуда.

>>1571504
>при создании дефолтных сетевых интерфейсов все контейнеры имеют доступ к локальной сети
Чтоблять? Каких ещё дефолтных сетевых интерфейсов?

Контейнеры позволяют:
— использовать сеть хоста: при этом контейнеру доступно создание любых сокетов на имеющихся сетевых интерфейсах;
— создавать для связи виртуальный сетевой интерфейс: при этом по умолчанию он никуда не роутится и не бриджится;
— вообще не включать поддержку сети, при этом контейнеру достуен только интерфейс 127.0.0.1, отдельный от хоста.

А вот что роутить в локальную сеть с телевизорами, а что не роутить — это вопрос к администратору. Если голова и руки есть, то всё можно сделать нормально.

>>1571541
>создавать для связи виртуальный сетевой интерфейс: при этом по умолчанию он никуда не роутится и не бриджится
Няш, а поясни, в каких ситуациях нужно.

>>1571408 (OP)
> Контейнер — это как chroot
Дальше не читал.
Алсо, тебя забанят.

>>1571518
Предпочитаю покупать телевизоры без SmartTV и вешать на них Raspberry Pi.

>>1571535
> Если в контейнер сеть не пущена
Был задан вопрос о запуске скайпа. На кой тебе скайп без сети?

>>1571540
> Завернул в виртуалку
На которую потратил 10ГБ места, гиг оперативки и полчаса на установку щиндовса. Нахуй так жить?

>>1571543
Я бы по дефолту так делал. Получается примерно как сеть в виртуальной машине, которую ты сам можешь отроутить или забриджить куда тебе удобно.
Можно запилить специальную локальную сеть для всякого говна, из которой роутинга к принтерам, самбе и прочему непотребству нет, и бриджить в неё контейнеры с мокрыми письками.

>>1571535

>> Если в контейнер сеть не пущена, тоне похрен ли, что оно прочитает с экрана и с ввода? Стучать-то некуда.

> X.org allows applications to exclusively grab keyboard and mouse input. If such applications misbehave you are left with a system you cannot manage, you cannot even switch to text terminals.
> http://itvision.altervista.org/why.linux.is.not.ready.for.the.desktop.current.html

Перевожу: любая иксовая программа может залочить на себя клаву и мышь.

> X.org architecture is inherently insecure - even if you run a desktop GUI application under a different user in your desktop session, e.g. using sudo and xhost, then that "foreign" application can grab any input events and also make screenshots of the entire screen.
> http://itvision.altervista.org/why.linux.is.not.ready.for.the.desktop.current.html

Перевожу: иксовая прога может делать скриншоты всего окна. в котором могут быть секретные проги.

> !! X.org is not multithreaded. Certain applications running intensive graphical operations can easily freeze your desktop (a simple easily reproducible example: run Adobe Photoshop 7.0 under Wine, open a big enough image and apply a sophisticated filter - see your graphical session die completely until Photoshop finishes its operation).

Перевожу: иксовая прога может вызвать зависание всего икс-сервера интенсивными графическими операциями.



Вывод. Нужен отдельный икс-сервер, но насколько он безопасен ?

Мне кажется в идеале конечно лучше использовать виртуальный икссервер типа Xvfb/Xephyr который запускается внутри контейнера. И через VNC получать доступ к нему.

>>1571552
>потратил 10Гб места
1.5Гб для xp
>гиг оперативки
2016 на дворе, я свои 6 не забиваю никогда
>полчаса на установку
Ещё со времен форточек у меня лежит минимально-кастомный исошник с тихой становкой. Виртуализация скайпоговна тоже воплне себе выход.

>>1571541
>— вообще не включать поддержку сети, при этом контейнеру достуен только интерфейс 127.0.0.1, отдельный от хоста.
А этот вариант, с точки зрения приложений в контейнере, ничем не отличается от выдернутого из системника кабеля? sudo unshare -n мешает приложению видеть запущенный локально RLM License server, гасить-поднимать подключение лень.

>>1571544
>
>Защиты от чего?

Государственная слежка в целях заботы о самом народе.
Или государство имеет тебя. Или ты государство.

>>1571552
>10ГБ места, и полчаса на установку щиндовса.

Снова ССД-даун закукарекал. У нормальных людей терабайнтые диски и им похуй на твои кукареки.

У меня например есть сохранённая виртуалка с установленной виндой. Когда мне нужна новая виртуалка. Я просто копирую и тутже получаю виртуалку с виндой.

> гиг оперативки

Неиспользованная память виртуалки свапится. В реальной ситуации даже если ты выделишь виртуалке несколько гигов, то будет использоваться пара сотен и не более того. Всё зависит от количества програм запущенных в виртуалке.

Хм, а если завернуть в такой контейнер Скайп и поставить на сервере, можно ли создать API, который через иксы будет читать и писать сообщения инстанции? Определяя заголовки окон и содержимое? Тогда можно из этого соорудить XMPP мост и чатиться со скайпоконтактами из опен сорсных мессенджеров.

>>1571568
Отдаленно похоже на шлюз в скайп для сипа.
https://www.opennet.ru/base/net/skype2sip.txt.html

>>1571567
>
>Неиспользованная память виртуалки свапится.

А во первых виртуалка не использует память если она не была использована . В том же диспетчере задач хорошо видно. Что при старте виртуалки использованная память нарастает постепенно по мере запуска програм внутри виртуалки.

А дальше если эта память хоть и была выделена, но не использовалась, то она свапится хостом.

>>1571555
>любая иксовая программа может залочить на себя клаву и мышь.
Неприятно, да.
>иксовая прога может вызвать зависание всего икс-сервера интенсивными графическими операциями.
Особенно актуально для приложений под Вайном.
>иксовая прога может делать скриншоты всего окна. в котором могут быть секретные проги.
И фапать на них. Интернетов в контейнере нет, сливать скриншоты некуда.

>>1571559
Даже если так, то это на порядок больше ресурсов, чем нужно в случае с контейнером. Ну и на порядок большее время запуска и остановки.

>>1571561
> Но lxc не контролирует доступ к локалку и это есть большая дыра о которой никто не говорит.
Запятые ставить научись, из-за их отсутствия у тебя какая-то каша в голове.
Если ты не умеешь настраивать сеть, то и с изоляцией контейнеров не справишься.

>>1571563
С точки зрения приложения это не выдернутый кабель, а отсутствие сетевухи.

>>1571567
> У нормальных людей терабайнтые диски и им похуй на твои кукареки.
Пердолик, ты забыл время, которое нужно для забивания этих 10ГБ кучей мелких файлов. Ну и для передачи их по сети или бэкапа.

> В реальной ситуации даже если ты выделишь виртуалке несколько гигов, то будет использоваться пара сотен и не более того. Всё зависит от количества програм запущенных в виртуалке.
Здесь ты забыл про сперму, которая любит занимать чуть ли не всю ей предоставленную оперативку.

>>1571570
>2009
Боюсь скайп с протоколом той версии уже не сможет нормально работать, придется все переделывать. Тогда сообщения еще напрямую доставлялись, а не через зондированный сервер.

>>1571574
>
>Здесь ты забыл про сперму, которая любит занимать чуть ли не всю ей предоставленную оперативку.

Линукс в виртуалке ведёт себя абсолютно аналогично. Т.к. линукс и виндовс используют всю свободную память как файловый кеш.

>>1571574
>С точки зрения приложения это не выдернутый кабель, а отсутствие сетевухи.
Судя по тому, что приложение замечео в сливе куда не просили mac-адреса сетевухи - таки второй вариант, с виртуальным интерфейсом, который никуда не подключен, более актуален. Может заподозрить наёбку, если сети воообще не увидит. Спасибо.

>>1571568
Теоретически такое возможно: читать можно из логов (если они у скайпа есть), а писать через xdotool.

>>1571581
Но речь о контейнерах, в них кэш общий с хостом.

>>1571574
>Если ты не умеешь настраивать сеть, то и с изоляцией контейнеров не справишься.

Я умею использовать iptables.

Но новички линуксоиды не знают об сетевой дыре контейнеров, виртуалок.

Так что "большая дыра о которой никто не говорит" существует и очень опасна.

>>1571587
Дыра из разряда «выйдя на улицу, можно попасть под машину».

>>1571588

Проблема в замалчивании. ОП не написал. На сайте линукс-контейнера это не написано. А проблема серьёзная.

К тому же домашняя локалка это не интернет. Но предоставлении доступа к ней чревато серьёзными проблемами безопасности.

>>1571591
Я счёл это очевидным.
И проблема тут не столько в утекании из контейнеров в локальные сети, сколько в неграмотно построенных сетях — с дырявыми роутерами/принтерами без паролей и прочими фокусами.

>>1571595
>И проблема тут не столько в утекании из контейнеров в локальные сети, сколько в неграмотно построенных сетях — с дырявыми роутерами/принтерами без паролей и прочими фокусами.

Мне кажется у тебя ошибочное представление о безопасности. Нужно больше дефолтных ограничений.

Контейнер должен обеспечивать ограничение трафика в домашнюю локалку. Ведь контейнер это средство виртуализации (скрытия). А контейнер этого не делает. И даже не намекает.

Мне кажется по дефолту контейнер при наличии сетевого интерфейса должен резать весь трафик. А в конфиге должна была бы быть настройка что одной опцией можно разрешить трафик в локалку (192.x.x.x), другой опцией доступ к dns роутера, другой опцией доступ к внешке, другой опцией доступ к локалке провайдера (10.x.x.x) и т.д..

По мне так это дыра.

>>1571647
> Контейнер должен обеспечивать ограничение трафика в домашнюю локалку.
Контейнер вообще не должен заниматься фильтрацией трафика и роутингом, это не его задача.

> Мне кажется по дефолту контейнер при наличии сетевого интерфейса должен резать весь трафик.
При создании контейнера с отдельной виртуальной сетевухой так и происходит: сетевуха никуда не подключена.

> А в конфиге должна была бы быть настройка что одной опцией можно разрешить трафик в локалку (192.x.x.x), другой опцией доступ к dns роутера, другой опцией доступ к внешке, другой опцией доступ к локалке провайдера (10.x.x.x) и т.д..
Контейнер — не фаервол, а комбайны не нужны. А ещё приведённая тобой адресация не соответствует моей, например.

> По мне так это дыра.
Дыра — это когда в голове пусто. Задачи контейнера не ограничиваются запуском мокрописечного говна: напротив, это довольно редкий случай их применения. Чаще они используются на веб-хостингах для разграничения доступа, а там никакую локалку огораживать не нужно.

>>1571663
>Контейнер — не фаервол, а комбайны не нужны

LXC-контейнер уже является комбайном. Например в него встроили поддержку apparmor-профилей. Встроили лимитирование cgroups. Можно и правила фаервола встроить.

>>1571408 (OP)
>установки софта со большим набором зависимостей, который не хочется ставить в основную систему

Почему искаропки так не сделано, чтобы каждая программа сидела в своем манямирке и не связывала систему кучей зависимостей?

>>1571733
Это не ответ

>>1571723
потому что не рационально и не секьюрно

>>1571746
Пеpдoля, ты 24/7 тут копротивляешься?

>>1571723
То есть ты предлагаешь дублировать одинаковые зависимости в каждый из мирков? Это идиотизм. Да и тут еще гора тонкостей, изучай матчасть.

Ты действительно сказал глупость, не стоит ждать чего-то конструктивного в ответ.

>>1571673
> Например в него встроили поддержку apparmor-профилей.
Это логично и несложно.
> Встроили лимитирование cgroups.
Все контейнеры, за исключением древнего OpenVZ, работают на основе cgroups.
> Можно и правила фаервола встроить.
В отличие от разграничения доступа на уровне ФС и подсистем ядра, LXC не занимается огранизацией работы сети, это делается внешними по отношению к нему средствами. Соответственно, и настройка фаервола в его функционал не вписывается.

>>1571813
> Телевизоров без смарттв не бывает.
https://market.yandex.ru/catalog/59601/list?hid=90639&gfilter=2141002946:exclude
> Но дано очевидно, что к телевизору нужно ставить коди на пасивном интеле.
Неэффективно и громоздко. Гроб mini itx на стенку за телевизор не очень засунешь, в отличие от RPi 2 B+.
> Поставил такой к ТВ и получил безграничные возможности, десяток терабайт сетевой помойки, роутер с вайфаем, нормальный звук и прочее.
У меня примерно такой на антресоли стоит. Но ставить жужжащий винчестерами и кулером бп ящик в жилую комнату я бы не стал. Нахуй нужен роутер, который надо отключать на ночь?
> Поддержка HDMI-CEC обеспечивает управление с того же пульта что и тв.
Если на пульте есть не задействованные в режиме HDMI кнопки, то их можно прикрутить к RPi через инфракрасный датчик на GPIO и без CEC.

>>1572099
Мне хватает. Если нужно больше — оно есть:
https://market.yandex.ru/catalog/59601/list?hid=90639&gfilter=2141002946%3Aexclude&gfilter=2142557762%3A-1519271021%2C-126828849
Правда, RPi придётся заменить на что-то с более мощным DSP на GPU.

>>1571408 (OP)
>из своей спермокучи вовсе порвался и применил ban+delall, в чём потом признался
Так это же злоупотребление мочеркой.
Вам мочу нравится хлебать или макаке просто похуй на это?

>>1571548
>Дальше не читал.
Обосновывай давай. В чём принципиальные отличия?

>>1572368
Я "как" не увидел прочитал "Контейнер — это chroot".
Тем не менее, стоило бы упомянуть о cgroups и отдельной иерархии процессов, что и является главным отличием от chroot.

1)Можно ли в контейнер поставить Steam и играть в мои игори оттуда? Я не хочу засирать систему легаси-либами. Если можно, то как и будет ли потеря производительности?
2)Аналогичный вопрос с Adobe Photoshop в WINE, который загружен в контейнер.
3)Какие контейнеры выбрать для дома? Docker/LXC или ещё что?

>>1571723
>
>Почему искаропки так не сделано, чтобы каждая программа сидела в своем манямирке и не связывала систему кучей зависимостей?

Потомучто раньше диски были маленькие. Это щас терабайтники.

В маках как раз пакет программы содержит в себе все зависимости.

А линуксоиды в массе ленивые уёбки которые просто как попугаи повторяют дистрибутивных майнтейнеров. Если в их дистрибутив не завезли какуюто возможность, то эти линукс-дауны будут бесконца кричать "НЕНУЖНО!" >>1571755
>>1571772 . Линуксуёбки пользующиеся линуксами с репозитариями являются ленивым говном и полностью полагаются на майнтейнеров собирающих репозитарий. Хорошо это видно на сайте лора. Где все эти придурки собираются. НУ и здесь на сосаче полно таких дегенератов.

>>1572585
> Можно ли в контейнер поставить Steam и играть в мои игори оттуда?
Можно, но запуск графических программ несколько сложнее, особенно с OpenGL на проприетарных драйверах.
> Я не хочу засирать систему легаси-либами.
Их совсем немного. Стим всё равно держит набор либ от убунты 12.04 у тебя в хомяке.
> будет ли потеря производительности?
Ничтожно маленькая.
> Adobe Photoshop в WINE, который загружен в контейнер
Бессмысленно, wine сам по себе песочница. Параноики могут убрать привязки за пределы префикса.
> Какие контейнеры выбрать для дома?
LXC.

>>1572076
>огранизацией работы сети, это делается внешними по отношению к нему средствами. Соответственно, и настройка фаервола в его функционал не вписывается.
>

Я тебя удивлю. Но фаервол линукса встроен в ядро.

>>1572076
>жужжащий винчестерами

Кактам в 2000-ом году ? Всё трещит, звенит, жужжит ?

>>1572076
>кулером бп

В современных БП кулеры большие и работают на маленьких оборотах и поэтому не слышны. Я имею в виду нормальные БП а не самые дешёвые с плохими кулерами. Но даже в этом случае кулер можно поменять на тихую модель.

>>1572076
>Нахуй нужен роутер, который надо отключать на ночь?

Нахуя его отключать ?

>>1572643
>wine сам по себе песочница.

Идиот. Wine предоставляют полный доступ к всей файловой системе доступной текущему юзеру.

Поэтому Wine нужно запускать в отдельном юзере.

>>1571408 (OP)
> признался (>>1571124).
Есть скрин поста? А то удалён уже.

>>1572585

> Steam
Хватит chroot. Чтобы изолировать файловую систему. Изолировать сеть не нужно.

> Wine
Хватит отдельного юзера.

>>1571408 (OP)
>из которого в отличие от chroot нельзя убежать.

Можно, если ядро дырявое, не обновлял. https://www.linux.org.ru/news/security/12267820

>>1572690
Жесть.

ОП, докер это же не реализация контейнера, а просто хуйня для удобного использования lxc. Олсо, click пакеты в убунте тоже сорт контейнеров

Братушки, где найти готовые билды докероконтейнеров? Интересует стим и огнелис

>>1572733
> click пакеты в убунте тоже сорт контейнеров
Можно подробнее?

>>1572739
Поддвачну реквест.

Closed by Dave Reisner (falconindy) Monday, 29 June 2015, 20:52 GMT Reason for closing: Won't implement Additional comments about closing: The situation is not significantly different from when this bug was originally closed. There are still multiple vulnerabilities every month and upstream is still not providing a way to enable this at runtime via a sysctl flag. Arch is not going to carry an out-of-tree patch to add the sysctl flag like other distributions, so I don't think it makes sense to leave this issue open. The feature is not going to be ready for years.
>The feature is not going to be ready for years.
>The feature is not going to be ready for years.
https://bugs.archlinux.org/task/36969
/thread

>>1572679
> убрать привязки за пределы префикса

>>1572793
Переведи для нубов.

>>1572787
А что, не хватит? Чем ты titlebar так скрыл?

>>1572795
Все диски, кроме C:, и папки пользователя.
Да, технически, выйти за пределы префикса всё ещё будет возможно, вне рамок стандартного WinAPI и программа должна быть рассчитана на работу под вайном.

>>1572820
> Winefile will still navigate from '/', but trying to open anything outside of your new Z: drive will result in 'File Not Found." This trick only works if a malware developer isn't anticipating this.

>>1572739
>>1572755
https://hub.docker.com/explore/

>>1572793
>> убрать привязки за пределы префикса

Ты их вручную уберёшь, но они потом сами потом могут автоматически снова создаться. Сам несколько раз наблюдал такое поведение Wine.
После чего решил не полагаться на конфиг Wine.

>>1572841
Насколько я знаю, их создаёт winetricks, которому нужен доступ в ~/.cache/winetricks, а не сам вайн.

>>1572778

Долбонутые админы арча.

>>1572853
>winetricks

У меня без Winetricks они создавались.

>>1572859
> ОНО САМО

>>1572643
> wine сам по себе песочница
Охуенная песочница:
start /unix /usr/bin/xterm
> Параноики могут убрать привязки за пределы префикса.
Какого ещё префикса?
И привязки дисков можно ставить обратно изнутри вайна через реестр.

Пиздос, откуда такие долбоёбы берутся? «Параноики», блять. Предложил хуергу, которая вообще во всех местах дырявая, и описывает для параноиков способ убедить себя в её надёжности.

>>1572799
Как видишь, не хватит. Там хостнейм.

>>1573069
Рассказывай, как сделал.

>>1573105
Apparmor

>>1573118
> Такое сообщение выводится при отсутствии указанного бинария
Необязательно. Оно же будет, например, если нет флага исполняемого.

>>1571408 (OP)
А есть что-то подобное, но под Шиндоус? С виртуалкой слишком много ебли получается.

>>1573805
Нет. В такое умеют только UNIX и UNIX-like ос. Можешь портировать. Код открытый.

>>1573805
Обновись до 8.1. Там hyper-v ИСКАРОПКИ, ебли меньше становится.

>>1573853
>8.1
Зонды жать будут же.

>>1573805
>
>А есть что-то подобное, но под Шиндоус?

В Windows Server 2016 есть поддержка контейнеров Docker.
https://www.docker.com/microsoft
https://msdn.microsoft.com/en-us/virtualization/windowscontainers/quick_start/manage_docker

>>1573826
>Нет. В такое умеют только UNIX и UNIX-like ос.

не пизди.

>>1572643
>>1572686
>Steam
>Chroot
А ещё, это говно от рута пускать надо там, кекус максимус.

>>1574238
Почему?

>>1574238
> от рута пускать надо

Если от рута то тогда нужно юзать lxc/docker и user namespaces чтобы обмануть стим.

>>1574271
А через nspawn neeqaque?

>>1574342
>nspawn

Не знал о нём, не пользовался. У меня нет systemd.

>>1574362
А его можно поставить и без системд как системы инициализации.

https://wiki.archlinux.org/index.php/Init#systemd-nspawn

Я спрашивал про Steam тут, а это >>1574238 правда? Почему бы просто не создать внутри chroot'a юзера и пускать стим из-под него? Должно же работать, если я правильно понимаю что чрут это фактически минимальная ось на диске.

Я тут прочитал статью, в которой упоминался какой-то экзотический линух, в котором установка программ не размазывается говнозависимостями по всей системе, а напоминает мак и ведро, забыл как называется. Видимо, этот линух так и останется экзотикой, т.к. правила устанавливают дебилы с классическим устаревшим методом, хуй знает к чему я это написал.

>>1574713
>какой-то
Пошёл нахуй!

>>1571564
> гляди, лейтенант, тут Прыщан Пердольевич старушечьи сраки смотрит, гыыы
Ох уж эти чсвшные пердодегенераты.

>>1571564
Ты педофил?

>>1574362
>systemd-nspawn is a tool for systemd systems.
>Since Linux 2.6.19 it is however possible to run systemd on a non-systemd system by using PID namespace. For it, the kernel needs to be configured with CONFIG_PID_NS and CONFIG_NAMESPACES).
>The PID namespace creates a new hierarchy of processes starting with PID 1. In addition to this, systemd requires a chrooted root filesystem to be mounted. Hence, you have to at least make a bind mount, because otherwise some services will fail with

УЗНАЙ ВСЮ ПРАВДУ О ЗАГОВОРЕ ПЕРДОЛИКОВ ТУТ

https://2ch.hk/s/res/1574930.html
https://2ch.hk/s/res/1574930.html
https://2ch.hk/s/res/1574930.html
https://2ch.hk/s/res/1574930.html
https://2ch.hk/s/res/1574930.html
https://2ch.hk/s/res/1574930.html

>>1574723
>> установка программ не размазывается говнозависимостями по всей системе, а напоминает мак и ведро,
>GoboLinux
нихуя

>>1574830

пиздуй в /po/

>>1574713
Может быть, sta.li? У них своё мнение о FHS

>>1574713
http://sta.li/faq

>>1574723
Что за звери? Можно поподробнее?

>>1578387
Так можно делать с любой реализацией контейнеров, и не только. Я вообще предпочитаю ставить debian этим способом, а не тыкать инсталлятор: получается быстрее и именно то, что мне нужно.

>>1578395
А как же эти галочки в инсталляторе? Локаль там, все дела.
>Я вообще предпочитаю ставить debian этим способом
Так это же будет доступно только через контейнер в рамках какой-то другой системы, или я чего-то недопонял?

>>1578395
> и не только
И с чем ещё так можно сделать?

>>1571408 (OP)
Тред унижения спермоблядей. Подписался.

>>1578627
Не знаю, о чём ты. В винде есть докер в сервере 2016, который technical preview

>>1578677
Хуйня же.

>>1578683
Это почему? Там какой-то докер неполноценный, или что?

>>1578687
В винде все неполноценно е.

>>1578695
Ты скозал? Давай обосновывай, чем реализация докера в винде ущербна.

>>1578677
Лол:
> The Docker VM is lightweight Linux virtual machine made specifically to run the Docker daemon on Windows.
Это не контейнер, а виртуальная машина с прыщеконтейнерами.

>>1578615
>
>А как же эти галочки в инсталляторе? Локаль там, все дела.

Конфиги править в /etc ?

>>1578387
>
>Вначале в виртуалке с дебианом с помощью debootstrap скачиваешь минидебиан в папку

Или в реальном дебиане. Если ты в нём сидишь.

>>1579971
> Или в реальном дебиане.
Почему только в debian'е? debootstrap можно запустить из почти любой прыщесистемы.
Олсо, я недавно пошёл дальше и, отказавшись даже от debootstrap (почему-то он не позволяет устанавливать только целевой пакет с зависимостями, обязательно тянет минимальную систему), нарутил контейнер с debian путём распаковки deb-пакетов. Правда, чтобы привести в порядок бд dpkg, пришлось изрядно поебаться.

>>1578616
Да с чем угодно — с реальными и виртуальными машинами, chroot'ом для телефона, етц.

>>1578395
И запускать только через контейнер другой системы? Но ведь это не установка. Это нечто среднее между установкой в виртуалку и установкой на диск. То есть дистрибутив так сменить нельзя, или можно?

>>1580157
> И запускать только через контейнер другой системы?
Почему? Можно установить туда ядро (и загрузчик, если нужно) и запускать реальную или виртуальную машину.
> Но ведь это не установка. Это нечто среднее между установкой в виртуалку и установкой на диск.
Что за хуйню я прочитал? Gentoo и Arch официально ставятся подобным способом.
> То есть дистрибутив так сменить нельзя, или можно?
Можно. Ставь на отдельный раздел (или subvolume btrfs), загружай, после чего сноси старый.

Странные вопросы какие-то. Т.к. доступны низкоуровневые инструменты, возможности жонглировать прыщесистемами ограничиваются только фантазией админа.

>>1571586

Нет ты обасрался. Ты утверждал здесь >>1571574 что память только винда съедает всю память. А на самом деле и линукс тоже >>1571581 .

>>1580372
>Можно установить туда ядро (и загрузчик, если нужно) и запускать реальную или виртуальную машину.

Как ты загрузишься в папку линукс-контейнера ?

>>1582469
rootflags=subvol=xxx, например. Ещё можно делать контейнер на отдельном разделе. Ещё можно поправить скрипты в initramfs, чтобы chroot при запуске init делался не в корень раздела, а в указанный каталог. Как угодно.

>>1582466
Нет, ты. Только со спермой тебе придётся использовать виртуальную машину с неэффективным распределением памяти, тогда как под прыщами можно взять легковесный контейнер. Разницу объяснять?

>>1582863

>Здесь ты забыл про сперму, которая любит занимать чуть ли не всю ей предоставленную оперативку. >>1571574

Ну ты мудак. Ты написал про винду. Ты оказался не прав.

А теперь пытаешься перевести разговор про контейнеры.

ТУпой-тупой красноглазик.
> Т.к. линукс и виндовс используют всю свободную память как файловый кеш.

Раз ты обасрался, так признай хотя бы это. Будь профессиональным. А не быдлом.

>>1571540
И что, оно может звонить? У меня в виртуалбоксе запускается, но при попытке позвонить падает. Гостевые дополнения ставил полностью.

>>1574713
sta.li? Gobolinux?

>>1584473
>добавить один usb-канал
Не совсем тебя понял.

>>1584006
> Ты оказался не прав.
Придурок, в каком месте? Когда вообще начал отвечать на безграмотный бред >>1571567?

> Ты написал про винду.
Её ты сюда притащил, в тред про контейнеры. И начал кукарекать про то, что похуй на несколько гигов занятой оперативки (>>1571567), поскольку они всё равно уедут в своп и там останутся.
Я бы насрал на голову тому, кто посоветовал бы мне сделать что-то подобное на десктопе, потому как любой значительный своппинг приводит к тормозам. В своп уедет скорее не только виртуалка с ворочающейся там спермой, но и половина браузера и прочих запущенных приложений, из-за чего они начнут тормозить. Если ты привык к тормозам и считаешь их нормой работы, то это лишь твоё залитое спермой представление о прекрасном, разделять которое я не намерен. Я держу своп исключительно как подушку безопасности для тех случаев, когда по каким-то внезапным причинам кончается оперативка.

Норма для контейнеров — вообще отсутствие лишнего потребления оперативки. Она расходуется исключительно на запуск приложения, будь это 2МБ на шелл или 2ГБ на браузер с 50 вкладками.

> А теперь пытаешься перевести разговор про контейнеры.
Уёбок, это тред про контейнеры. Не нравится — съеби.

>>1582466
> Ты утверждал здесь >>1571574 что память только винда съедает всю память.
Неверно. Там написано, что в случае со спермой тебе придётся делать виртуальную машину с несколькими ГБ оперативки, которые будут бесполезно сожраны, в отличие от сабжа треда. То, что ты это не понял, а вместо этого наплёл наполовину из отсебятины свою интерпретацию — твои проблемы.

>>1584586

Ну ты сука мразь. Вначале сам сказал хуйню. Я тебе указал на твою ошибку. Теперь отнекивается.

>В своп уедет скорее не только виртуалка с ворочающейся там спермой, но и половина браузера и прочих запущенных приложений, из-за чего они начнут тормозить

Мудак браузер не уедет в свап, т.к. его память используется.

Вобщем я понял что ты пидаразка, обычная религиозная линуксоидная мразь. Именно религиозный линуксоид. Не здоровый объективный линуксоид, а религиозный линуксоид, больной фанатик. И естественно что ты будешь врать о винде, но также защищая свой святой линукс будешь врать о линуксе. Больной человек.

>>1584631
>Вначале сам сказал хуйню.
Я не говорил хуйни ни в начале, ни в конце. Ты говорил хуйню всю дорогу.

> Мудак браузер не уедет в свап, т.к. его память используется.
Браузер, в отличие от тебя, не мудак. И потому в процессе работы не ворочает открытыми фоновыми вкладками, из-за чего они в своп уходят со свистом.
Кроме того, от исчерпания оперативки очищается дисковый кэш, что приводит к дополнительным тормозам.

> Вобщем я понял что ты пидаразка, обычная религиозная линуксоидная мразь. Именно религиозный линуксоид. Не здоровый объективный линуксоид, а религиозный линуксоид, больной фанатик. И естественно что ты будешь врать о винде, но также защищая свой святой линукс будешь врать о линуксе. Больной человек.
Спермача понесло. Сказал же, не нравится тред о контейнерах — уёбывай. Вместе со своей любовью к своппингу с тормозами.

>>1582863
>Разницу объяснять?
Я всё-таки это распишу, мб кому-то будет интересно. На всякий случай без привязки к ОС.

При запуске программ в контейнере оперативная память выделяется точно также, как и при запуске программ вне контейнера — используется тот же аллокатор того же ядра, тот же дисковый кэш и т.д. При исчерпании свободной оперативки дисковый кэш сокращается, а при освобождении — может вырасти обратно, вне зависимости от того, причина этого была вне или внутри контейнера.

В случае с виртуальной машиной оперативная память жёстко делится при её запуске и не может быть перераспределена в процессе работы. При этом используется два дисковых кэша — на хосте и в виртуалке, которые частично дублируют работу друг друга и не освобождаются по требованию хоста в виртуалке и наоборот. Вырос процесс в виртуалке — в ней начинается своппинг, не смотря на свободную память на хосте. Вырос процесс на хосте — хост лезет в своп, т.к. не уполномочен очищать дисковый кэш в виртуалке.
Ситуацию теоретически может улучшить паравиртуализация, в т.ч. т.н. virtio balloon driver, позволяющий динамически выделять память виртуальной машине, но практика от автоматического решения указанных выше проблем пока далека. Когда-то были подвижки (http://www.linux-kvm.org/page/Projects/auto-ballooning ), но воз и ныне там, в апстрим патчи не приняты.

>>1584781
Ну и, конечно, не стоит забывать про то, что в виртуальной машине нужно запускать полноценную ОС. Если в прыщах для этого может быть достаточно 64мб, то в случае со спермой и гигабайта маловато, начинается своппинг, надо два.

>>1571408 (OP)
То есть можно с их помощью устанавливать крякнутые нативные игры с торрентов, не опасаясь за сохранность системы и данных?

>>1584631
Хуясе у вас тут костры полыхают.

>>1584878

Да.

>>1584842
>гигабайта маловато, начинается своппинг, надо два.

Толсто.

>>1584842
XP отжирает около 100 мегабайт в простое.

>>1584969
А 3.11 — вообще 4мб, и без свопа.

Повторюсь: если хочешь чтобы программы работали, а не тормозили, то нужно выделять память так, чтобы свопа вообще не было.

>>1584960
Не толсто, а реальный опыт установки win2012 server «x64». На гигабайте она еле ворочалась.
Не думаю, что потребление ресурсов десктопными версиями щиндовса отличается в разы.

>>1585110
>Не думаю, что потребление ресурсов десктопными версиями щиндовса отличается в разы.

Ну ты мудило. Тебе пишут про няшную маленькую виниксписо 100 мегабайтами. А он про свой сраный никому не нужный Win2012-server. Долбоёб.

>Повторюсь: если хочешь чтобы программы работали, а не тормозили, то нужно выделять память так, чтобы свопа вообще не было.

Ты уёбок. Большинству программ нахуй не нужны эти твои гигабайты.

>>1586583
Спермокретин, съеби уже отсюда со своей протухшей некроспермой, поддержка которой давным давно дропнута и под которую даже утилиты для настройки игровых мышей (единственное, для чего мне в последние годы была нужна виртуалка с пендой) не выпускают.

> А он про свой сраный никому не нужный Win2012-server.
Нет, я про windows 3.11 for workgroups. Уёбывай.

> Большинству программ нахуй не нужны эти твои гигабайты.
И дисковый кэш тоже нахуй не нужен, да. И похуй, что меню пуск в твоей сперме будет открываться по 5 секунд, если не теребить его постоянно. Я тебя хорошо понял, ты не нужен. Иди корми своим сладким хлебом посетителей других тредов, а здесь не мешайся под ногами.

ТРЕД НЕ ЧИТАЙ@ВОПРРСЫ ЗАДАВАЙ
Можно ли в контейнер на linux поставить windows/osx/небо/аллаха? Или только линуксе?

>>1586748
Контейнер — это лишь средство изоляции группы процессов от остальных процессов и ресурсов хоста. Это не виртуальная машина, в нём нет отдельного ядра ОС.

Если хочешь контейнеры с поддержкой нескольких ОС, то бери freebsd jail, фря умеет запускать ещё бинарии от linux и solaris. Но поддержка щиндовса и там есть только в виде вайна, а поддержки osx нет совсем.

>>1571408 (OP)
> — установки софта, требующего отличного от имеющегося в дистрибутиве набора библиотек;
Это просто чудо какое-то! Я зашёл сюда как-раз за этим! Я вот уже неделю плачу на двачах о том, что не могу установить bomi в мою ламповую ubuntu потому что с последним обновлением проебались все зависимости, и либо выпиливать пол системы либо отказаться от обновлений вообще, чтобы пользоваться этим божественным вином.
И вот в 6:34 утра, я подумал: "Бля, а по чему бы не спросить, можно ли на линупсе запилить изолированную среду чтобы она содержала все необходимые библиотеки для работы конкретного приложения", и скролля софтач в поисках вопрос-ответ треда я, О ЧУДО, наткнулся на этот тред.
Пока ещё его не прочитал, но на радостях заочно спрошу, как я могу запилить мой ламповый bomi в мою ламповую пердоколяску если из репа через apt-get вариантов нет, ибо зависимости проёбаны а форсированная установка bomi наёбывает какой-то метапакет после которого система после dist-upgrade делает харакири и выпиливает 50% того, что делает из ядра десктоп.

>>1571408 (OP)
>>1586948
> При запуске зондоговна с GUI следует иметь в виду, что в X11 разграничение доступа реализовано чуть менее чем никак, и для изоляции надо использовать либо отдельный X-сервер, либо Wayland.
blyaaaaaaaaa

>>1586948
Берёшь debootstrap, накатываешь в отдельный каталог тот релиз убунты, где оно работает, запускаешь из него контейнер с прокинутыми иксами и накатываешь в нём твою хрень.

Для иксов нужно прокинуть как минимум переменную $DISPLAY, ключ $XAUTHORITY и сокет /tmp/.X11-unix, для аппаратного ускорения — ещё /dev/dri, для звука через альзу — /dev/snd, через пульс — $HOME/.pulse_socket. См. https://www.stgraber.org/2014/02/09/lxc-1-0-gui-in-containers/

>>1586952
Сложно запустить какой-нибудь Xephyr?

>>1586715
>И похуй, что меню пуск в твоей сперме будет открываться по 5 секунд, если не теребить его постоянно.

Долбоёб. Влажные мечты красноглазика.

>>1586715
> поддержка которой давным давно дропнута

Похуй. Если запускать одну программу, то на апдейты похуй.

>>1587058

Ты по существу отвечай. Если ты пишешь хуйню про винду, то я и буду корректировать твою тупость.

>>1588920
Написал тебе за щеку, проверяй.

>>1588927
Прекрати разговаривать со спермачом, он невменяем.

>>1586948
>потому что с последним обновлением проебались все зависимости,
Это нихуя не норма, слезай с 15.10 на 14.04

>>1586952
Ну боми не зондогавно. Другое дело что там ffmpeg есть. А значит надо изолировать в контейнер.

>>1571408 (OP)

Накидайте видеоуроков (ютуб) как эти контейнеры делать. Для нубов. К примеру как запустить нативную игру в контейнере. Например для дебиана.

>>1588991
Так я ставил 15.10 потому что мне показалось что зависимости из последующих релизов и нужен новый софт.
Сейчас откатился до 14.04.3 systemback'ом и пока живу нормально, но без bomi.
>>1587029
Звучит сложновато для колясочника. Что же, меня ждёт увлекательное на самом деле нет путешествие по манам и гайдам всего этого. Что скажешь за счёт docker? Вроде бы образ уже накатил, bomi туда поставил, осталось вывести видео и звук. Или твой метод будет работать лучше?

>>1589147

firejail steam

>>1571408 (OP)
Анон, тупые вопросы по джейлам во фрибзд. Суть:
Есть один домашний сервер под FreeNAS, на нём уже поднята файлопомойка по SFTP, нужно поднять Emby, почтовый сервер(iredmail), и торрентокачалку. В гайде к айредмейлу говорят о том что его нужно ставить на чистую систему. Являются ли джейлы "чистымы" и независимыми от основной системы как chroot? Могу ли я просто поднять джейл под каждую утилиту с условием что они будут полностью разграничены и независимы, но будут иметь общий доступ к HDD(т.е торрентокачалка например качает кинцо в n-ую папку на диске, а emby впиливает это кинцо в свою библиотеку и при этом они работают в двух разных джейлах)?

>>1589535
> как chroot

>Jails build upon the chroot(2) concept,
> https://www.freebsd.org/doc/handbook/jails.html

>>1589542
Т.е они будут независимы, но смогут работать с одним ЖД?

>>1589543

Да.

>>1587029
> Для иксов нужно прокинуть как минимум переменную $DISPLAY, ключ $XAUTHORIT
Не надо. Достаточно запускать приложение вот так: ssh -X container softina

Пишу этот пост из браузера, запущенного внутри контейнера.

>>1589556
>-X

Иксы содержат дырки безопасности. Иксы нужно тоже изолировать.

>>1589556
> ssh -X
Тормоза, отсутствие аппаратного ускорения графики.

>>1590659
> Иксы нужно тоже изолировать.
Здесь стоит разделить назначение контейнера:
— запуск заслуживающего доверия софта, который по какой-то причине оказался немовместим с хост-системой;
— запуск не заслуживающего доверия софта или предоставление доступа к управлению контейнером извне (что в какой-то степени одно и то же).
В первом случае изоляция иксов не нужна.

>>1590886
>Тормоза, отсутствие аппаратного ускорения графики.
Так как запускать-то тогда?

>>1590886
> Тормоза, отсутствие аппаратного ускорения графики.
Никаких тормозов. Аппаратное ускорения графики браузера? Это интеренесно.

>>1591023
А то.
about:support открой.

>>1591432
GPU Accelerated Windows

>>1591495
Ну вот, а у некоторых работает.

>>1591525
У тех, у кого это вообще поддерживается видеокарточкой и кто умеет готовить.

>>1591585
>>1591525
Мне говорили, в линуксах это вообще не работает.

>>1591665
А еще они про ПРОБЛЕМЫ С ЗАВИСИМОСТЯМИ говорят, про отсутствие драйверов и пердолинг. GET THE FUCKS жи.

>>1590659
>>1590886
А зачем изолировать иксы для контейнера, в котором нет сети? Ну прочитет оно что-то не то через дырки в иксах. А стучать-то некуда. Недоверенное приложение, которому нужна сеть - это, разве что, Шкайпик и, для параноиков, Стим.

>>1591810
> это, разве что, Шкайпик и, для параноиков, Стим.
А еще -- это браузер.

>>1591823
Профиль угрозы опиши. Чтение /home через свежую уязвимость? Или просто хочешь отдельный бразуер с дырявым флешем в контейнере?

>>1591771
Что правда, то правда.
С зависимостями проблема была один раз за полгода, решилась аптитудой с -f или какой-то там ещё опцией, дров хороших у меня нет на радивона старенького, не тянет разрешение монитора, а пердолинг у меня через день. Тупой, скучный.

>>1591841
Да, чтение home со всеми секретными ключами (ssh, gpg) и тому подобное, плюс возможность раскрытия реального IP (трафик контейнера идет через VPN) или там установление личности по браузер-фингерпринтингу и всякие анальные гугловские жучки-паучки.

Да, я у мамы немножко параноик.

>>1592547
> чтение ... ssh, gpg
Если хранишь ключи, не защищённые парольной фразой — ССЗБ.

>>1592579
Ssh незащищенные, да. Не для того использую авторизацию по ключу, чтоб каждый раз набивать пароль.

>>1592591
А зачем каждый раз? Один раз после логина на свой комп.

>>1592616
Админ локалхоста, ты? У меня несколько десятков серверов с разными ключами, если чо.

>>1591810
>
>А зачем изолировать иксы для контейнера, в котором нет сети

ну ладно, уговорил.

>>1592697
> несколько десятков серверов с разными ключами
И чё? Открой уже для себя ssh-agent и какой-нибудь ksshaskpass.

бамп

>>1594544
Ну дырок в Иксах на запись вроде неизвестно же? А на чтение - ну прочитает оно, а дальше?

Хмм... использую котейнеры для установки софта на работе на нодах, брат жив, проблемы зависимостей решаются идеально (как и переезд с ноды на ноду), centos - вообще няшка, ставится всё с полпинка. Но никогда бы не подумал, что прыщебляди додумаются использовать контейнеры для установки пользовательского софта дома. Может быть вам стоит попробовать использовать операционную систему Windows 10 вместо прыщей для двачевания капчи? Прыщи не могут в ГУЙ и пользовательскую юзабилити, прыщи не могут в драйвера, прыщи не могут в игры, наконец. Если вы прыщезависимые, поставьте на винду MINGW (если вы - программист, просто поставьте Git, ведь один хуй вы будете использовать Git), там будет MINGW. Далее, если вы сильно прыщезависимый, поставьте какой-нибудь centos minimal на виртуалку, замонтируйте папки через vboxsf и пробросьте 22-й порт. Далее, на винде запускаем git-shell, пишем ssh <username>@127.0.0.1 и получаем полноценную прыщеконсоль. В самих прыщах можно уже ставить докеры и тому подобное, можно иметь несколько версий прыщей, можно снимать снапшоты на случай, если прыщи ебанутся. У вас будут полноценные прыщи с консолью, на которых можно работать + няшная винда со всеми её скайпами, играми, ютубами и отсутсвием проблем с блядскими иксами. И да, не ставьте на винду прыщесофт (ну кроме гита и может быть емакса), вот тот же докер не стоит ставить напрямую на нормальные операционные системы (винду или OS X). На западе даже уборщицы работабют в перчатках. Вот и с прыщами стоит работать "в перчатках", т.е. развернув их на виртуалке под укравлением винды, а не ставя их в dualboot на вашем лючном компьютере.

>>1597155
>Может быть вам стоит попробовать использовать операционную систему ПитухОС Дрисять
Нет, спасибо.

>>1597174
Пердoля, ты опять сам с собой разговариваешь?

>>1597177
>БАБАХ
Лол.
Пердoля боевыми реверс-картиночками лопнул.
НАЙС.

>>1597179
>>1597180
>ВРЁТИ ПИРИФОРС
Ну что же ты, Пердoля?

>>1597184
Ну тащемта в чём-то он прав. Без консольки всё таки никак.

>>1597184
Вот смотри, я помянул centos minimal. Почему? Потому что загружается быстро, ну и пакеты там легко устанавливать. Можно, конечно, поставить ебунту, или сусе ентерпрайз какой-нибудь, там будет закос под ГУЙ, но по юзабилити он будет просирать даже windows 95, не говоря уж про божественную макось или десятку (лично мне десятка больше нравится, хотя это дело вкуса). И вот вопрос - нахуя рвать себе жопу, пытаясь собрать прыщавый гуй, гарантированно получая геморрой уже на этапе установки видеодрайверов, если есть операционные системы, которые могут в ГУЙ из коробки? Линукс нужен для работы, для запуска всяких сервисов, закос под ГУЙ там хуёвый и особо никому не нужен. Зато консолька там что надо. Поэтому под виндой можно держать целый зоопарк рабочих линуксов, будут няшные окошечки, в которых будут жить линуксы.

>>1597197
Танкист, ты?
>системы, которые могут в ГУЙ из коробки?
Дохуя дистров имеют няшный DE искаропки, в чем проблема?

>>1597160
>(Linux: Firefox based)
Ке-ке-ке, а если бы ты был Linux: Chromium based, тебе бы пришлось отключать ручками аппаратное ускорение в этом самом хроме по крайней мере на nvidia, чтобы иксы не висли. А подкдючить к прыщам 3 монитора, когда у тебя 2 видяхи - это вообще целое приключение. Ну и нахуй мне дома OS, которая виснет из коробки и требует пляски с бубном тупо чтобы работать? Не, идите куда подальше с прыщавым гуем, гуй есть в windows 10, ну и вроде как в макоси, а прыщи - это такая ось для серверных нод, её надо ставить на нодах, либо на компе для разработки в виртуалках, чтобы убедится, что твои программы будут работать на этих самых нодах.

>>1597197
>но по юзабилити он будет просирать даже windows 95
Это какой-то непробиваемый манямир. Ты из тех утят, которые на слабые машины вместо линукса со свежим софтом ставят некрохрюшку с некрософтом, ибо ПРИВЫЧНО?

>>1597197
>божественную макось
Диван незаметен.

https://geektimes.ru/post/268688/

>>1597204
>Дохуя дистров имеют няшный DE искаропки
Хоть один назови. Я уже в течение 10 лет ставлю себе какой-нибудь гуёвый линупс чисто чтобы посмотреть, что они там сделали в новой версии. И каждый раз ответ один - нихуя. Как будто недоделанный windows 95, так и не могут сдвинутся с этого уровня. Да и при чем тут дистры, если прыщавые гуи - это поделия вроде гнома, кде или xfce? Ну соберут их в новом дистре, но как дистр повлияет на изначальную убогость этих поделий?

>>1597217
>Как будто недоделанный windows 95
Вот это самовнушение.

>>1597207
Ты предлагаешь бросаться из одной крайности в другую. Линух может и не лучший выбор для казуального десктопа (я подчёркиваю - именно для казуального, т.е. для среднестатистического васяна; прыщеблядей же, к которым я отношусь, всегда будут душить анальные ограничения винды и невозможность тонкой настройки)
Но дриснятка - это блядь вообще за гранью добра и зла. По охуительности она сравнима с вистой.
Мораль - ставьте семерку (или сервер 2008) и не ебите мозг. Появится в линейке окон ось лучше - буду советовать её, а пока - только 7.

>>1597217
>поделия вроде гнома, кде или xfce
Петух, когда там в сперме хотя бы подобие рабочих столов запилили?

>>1597217
Минт cimnamon поставь и не пизди. Красота и эргономичность этого окружения оставляет шинду (и вообще всё на свете) далеко в жопе.
Лично я кончил от одной интеграции banshee со значком звука в трее, блядь как же это охуенно сделано.
В винде или в макоси покажи мне такое.

Еще один танкопетух слился, наааайс.

>>1597213
Ну назови хоть один прыщавый гуй, который тянет хотя бы на win 95 по юзабилити. Я знаю кде, гном и xfce. Может быть какой-то секретный есть?
>>1597216
Для меня мак закончился после того, как я понял, что для раскрытия окна мне надо жмякать в какую-то микроскопическую кнопочку вместо даблклика по заголовку окна. Тем не менее я знаю много макоёбов, которые утверждают, что в макоси гуй удобный. Ты прав, я диван, я на маке не сидел, и пока не собираюсь. Но хуже прыщей сложно что-то придумать в плане GUI, а макаёбы говорят, что макось - это прыщи done right, плюс им дохуя народу пользуются, которые к красноглазию склонности не имеют, отсюда полагаю, что в макоси гуй удобнее.

>>1597245
Говноеды много чего говорят. Ты вот тоже говноед и прославляешь тут спермоговно, в котором гуй по сравнению с любым DE вообще как из прошлого века. Не говоря уж о макопараше.

>>1597218
По делу, значит, нечего ответить?
>>1597225
>Ты предлагаешь бросаться из одной крайности в другую.
Ты ебанутый. Я писал, что в виндовсе есть гуй. И он хороший. А консолька в виндовзе - убогая. Ну вроде есть PowerShell и вроде он не хуже линуксовых поделий, но фишка в том, что пока люди доходят до PowerShell, они уже знают Bash, в итоге нахуй изучать еще и PowerShell при том, что ты уже знаешь Bash? Поэтому я и советую винду в качестве основной операционной системы (для десктопа) и mingw для консольки.
>Мораль - ставьте семерку (или сервер 2008) и не ебите мозг.
В чем скрытый смысл сидеть на оси, которую скоро снимут с поддержки?

>>1597227
Мне не нужно "подобие рабочих столов", мне нужен удобный гуй. В прыщях его нет.

>>1597284
>кококо нинужно
Обоссан. Рабочие столы - это самый минимум, нужный для удобного гуя. Впрочем, кому я это рассказываю? Дебилу, у которого два приложения - браузер и танчики?

>>1597233
Речь идёт об одном приложении, либо о системе?

>>1597254
Прыщебляди должны быть последовательным. Сначала надо освоить установку драйверов видеокарт, ведь без этого картанку хуй выведешь. Потом можно поговорить о качестве картинки. Потом о том, что на этой картинке нарисовано и какие она подразумевает интерактивные действия мышкой. Вот ГУЙ где-то на этом уровне находится, как прыщебляди до него доберутся, я им разъясню, что в их гуйне не так. Но, к сожалению, они за 10 лет даже первый уронень не преодолели, поэтому ГУИ в прыщах не будет, скорее всего.

>>1597298
>маняманевры
Обоссан еще раз.

>>1597285
>Дебилу, у которого два приложения - браузер и танчики?
Ну да. Более того, браузер у меня на работе, а танчики - дома. И таких дебилов - 98%. Поэтому линупс сосёт. Линуксовый гуй предельно оторван от реальных потребностей большинства населения.

>>1597310
То есть ты сейчас расписался в том, что ты говно и быдло с недозадачами типичного обоссаного потреблядка. Так хуле ты тогда свой клюв разеваешь и пытаешься тут рассуждать о каких-то материях? Пиздуй обратно в танчики, пообщайся там с братьями по разуму.

>>1597310
тебе же обесняли, что линукс для какеров, питуххос шиндовс - для быдла.
И какого хуя ты вообще рот открываешь с своим быдлядским манямиром, какие-то утверждения высираешь? Сидел бы под шконкой и играл себе танчики. А когда оттуда раздаются кукареканья об ОС и как их должно юзать, это просто делает смешно быть.

>>1597155
> centos - вообще няшка, ставится всё с полпинка.
Сколько она оперативки требует для работы пакетного менеджера? Гигабайт?
> Прыщи не могут в ГУЙ и пользовательскую юзабилити
Хуита, см. ниже. Фич GUI, где сперма сосёт у прыщей с X11, на порядок больше. А у тебя просто синдром утёнка.
> прыщи не могут в драйвера
Все драйвера на моё железо есть, да и не только на моё, а вообще на большинство железа. Причём некоторые (например, свободный видеодрайвер radeonsi) значительно лучше мокрописечных аналогов по нагрузке на проц и оперативку и времени отклика.
> прыщи не могут в игры, наконец.
Прыщи могут запускать практически все игры для PC, за единичными исключениями.
> предлагает ставить сперму на хост
И терпеть обновления с малварью, их установку при перезагрузке длительностью до получаса, неудобную установку софта с необходимостью его искать по помойкам с вирусами, отсутствие нормальной поддержк RAID (при выходе из строя первого винта из пары RAID1 нужно грузиться со специального сервисного диска и делать ребилд, ололо). Нахуй так жить?

>>1597207
> nvidia
> чтобы иксы не висли
Нехуй было устанавливать мокрописечные дрова. Мокрописечные поделия почти всегда кривые и глючные.
На свободных дровах иксы обычно работают месяцами без повисаний и падений.

>>1597279
> Я писал, что в виндовсе есть гуй. И он хороший.
Говно полное же. Не может в масштабирование шрифтов без их вылезания за пределы виждетов, например.
Те же иксы, которые проектировались в 80-х, могут в изменение DPI дисплеев без этой хуйни. А к сперме с появлением HiDPI прикрутили зум с размыливанием, ололо.

Управление окнами тоже убогое донельзя, годящееся только для запуска трёх программ максимум. Где группировка окон? Где автоматическое расставление окон в пределах группы по выбранной сетке и возможность переключаться между группами? Где возможность настройки действий мыши — например, как сделать закрытые окон средним кликом по таскбару? Почему нельзя перетаскивать и масштабировать окна без того, чтобы прицелиться мышью в их заголовок/границы?
По юзабилити управления окнами сперма сосёт даже у примитивного dwm (http://dwm.suckless.org/ ), не говоря уже о фичастых и расширяемых тайловых wm вроде awesome.

>>1597155
> и получаем полноценную прыщеконсоль.
А сколько оно жрать будет ты подумал?

>>1597353
Пердoль, ты чего такой дерзкий сегодня? Опять на уколы не ходил?
Нехуй тут на спермотанкиста выёбываться. Место под шконкой давно тобой занято.

>>1597155
> получаем полноценную прыщеконсоль

Putty.

>>1597217
>прыщавые гуи - это поделия вроде гнома, кде или xfce?

Было в линуксе хорошее гуи это KDE3. Но долбонутые прыщики выкинули его. Теперь пилят kde4. Но собираются и его скоро выкинуть. И там бесконца ... Ничего доделать и использовать не могут.

>>1597292
О твоей матери блядь, хуле ты дурачка-то включаешь?

>>1597659
Ссыканул и тебе в рот, и в рот спермотанкиста.

>>1598117
Этот петух недостаточно дерзок.

Поясните нубу, как поставить генту или арч в контейнер, не выделяя для них раздела. На арчевики про это нет, в хендбуке и подавно.

>>1598496
man systemd-nspawn:
> EXAMPLE 3
>   # pacstrap -c -d ~/arch-tree/ base
>   # systemd-nspawn -bD ~/arch-tree/
Для ссанины вместо pacstrap просто распакуй стаж.

>>1598610
У меня апстарт. Как я понимаю, придётся ещё поебаться с его установкой.

А для генты какой алгоритм действий? Такой же?

>>1598614
>с его установкой.
В смысле systemd-nspawn'а.

>>1598496
Тебе вот прямо именно контейнер? Чому не хочешь виртуалку?

>>1598623
Хочу возможность полноценно играться с арчем/гентой, и потенциально — даже бутаться в них.

>>1598614
> У меня апстарт. Как я понимаю, придётся ещё поебаться с его установкой.
Тогда поставь какой-нибудь lxc и пользуйся им. Там ещё проще — в комплекте есть набор темплэйтов для установки с помощью lxc-create разных дистров, включая arch и gentoo.

А systemd-nspawn требует systemd в качестве init'а хоста, так что не взлетит.

> А для генты какой алгоритм действий? Такой же?
Написано же:
> Для ссанины вместо pacstrap просто распакуй стаж.

>>1598661
А ещё оно не может в имена контейнеров с пробелами, и почему-то даже не говорит об этом. Нахуй так жить?

>>1598661
>>1598666
И как быть в таком случае?
Действительно, нахуй?

>>1598677
Спасибо, взял на карандаш.

>>1598680
Майор, зайти к вам в отдел, поговорить, накатить?

>>1598690
ты тот питух с виртуалкой?

>>1598686
Я в другом смысле. Заходи как-нибудь, конечно :3

>>1598690
А почему ссанина-то?

>>1597197
Спермотанкист, ты? Гляжу, прочитал про контейнеры и решил показать свою ЭРРУДИЦИЮ, а все равно несешь несусветную хуйню.
Няшные окошечки у него, я ебал.

>>1597207
> когда у тебя 2 видяхи - это вообще целое приключение.
Та ты чо. Маленький танкист не осилил xrandr?

>>1597279
> Я писал, что в виндовсе есть гуй. И он хороший.
Да вы посмотрите на этого мудака! Врет и не краснеет.

>>1597310
> Линуксовый гуй предельно оторван от реальных потребностей большинства населения.
И это хорошо! Ебал я в рот пользоваться системой, рассчитанной, в первую очередь, на таких ползателей.

>>1598922
Иди нахуй. Спермотанкист охуенен.
Он с Dеемой принёс на эту парашу хоть какое-то разнообразие.
И вообще, хули ты проснулся? Пиздуй досыпать.

>>1598927
>И вообще, хули ты проснулся? Пиздуй досыпать.
Да я и так уже 11 часов проспал, мне норм.

>>1598926
Двочую, гуй НИНУЖЕН. Нет нечего прекраснее на свете, чем постоянное содомирование себя консолью в срачло.

>>1598929
Гуй гую рознь, мой маленький прыщавый друх. Гуй венды есть говно и хуита.

>>1598928
Это значит полночи и утро тут твой семён был? Или всё таки это ты лунатил?

>>1598931
"Твой семен" звучит как-то странно, УЧИ МЕМСЫ, ЛАЛКА. А я вчера лег спать в 22:00, есличо, так шта это эназер персон.

>>1597279
>в виндовсе есть гуй. И он хороший.
Вот смотри, с этой проблемой сталкивался абсолютно каждый. Суть такова - если окно программы каким-то образом приобретает размер равный размеру рабочего стола (не будучи при этом развёрнутым), его невозможно уменьшить, т.к. уменьшаются и увеличиваются окна в двух измерениях почему-то только ЗА БЛЯДСКИЙ ПРАВЫЙ НИЖНИЙ УГОЛОК, который находится в таком случае за пределами экрана. И всё блядь.
В пердоликсе взял за противоположный угол и сжал как тебе надо.
>в виндовсе есть гуй

>>1598936

Есть тулза AltDrag.

>>1574797
>ЙА НИКАМУ НИНУЖЫН!!!111

>>1598936
в таких случаях нажимай Win+UP

Никак не могу завести сабж.
В гугле пишут, что нужен shadow ≥ 4.2, но ведь в убунте 4.1.5, а работает.
Поскольку udermod --add-subuids не работает, добавил в /etc/sub{u,g}id вручную username:100000:65537
lxc-create стал писать
> error mapping child
> setgid: Invalid argument
Сконпелировал shadow 4.2, скопировал new{u,g}idmap в /usr/local/bin/, теперь
> newuidmap: write to uid_map failed: Operation not permitted
Куда дальше копать?
Можно вообще это это исправить самому, или проще забить и уповать на мейнтейнеров?

>>1599179
Пиздец, в убунте вечно какие-то проблемы на ровном месте.

Или это врожденное криворучие убунтяток? Даже вот не знаю.

>>1599779
>>1599781
Ты хотел что-то конкретное сказать, или просто так вскукарекнул?

>>1599811
Второе, лол. На самом деле не пойму, ты там непривилегированные контейнеры пытаешься завести?

>>1599814
> Непривилегированный LXC
> Никак не могу завести
> ты там непривилегированные контейнеры пытаешься завести?
Проходи, не задерживайся.

>>1599824
Ок. Надо поспать, однозначно.

>>1599025
А говорил
>в виндовсе есть гуй
Какой же это нахуй гуй, если к этому гую надо пачку анальных улучшайзеров ставить чтобы жопа не рвалась каждые две минуты от блядских недоделок мелкомягких?

Ленивое-хуйло-кун ИТТ.
Есть ли контейнерная система с гуем и кнопкой "сделать заебись"?

>>1601534
Пиздец, вас пока дождешься, уже сам всё сделаешь.
Палю годноту:
https://github.com/tomparys/docker-skype-pulseaudio

>>1601689
>ForwardX11 yes
Защита уровня амулета из магнитиков. Почитай-ка для начала: http://blog.invisiblethings.org/2011/04/23/linux-security-circus-on-gui-isolation.html
Такому, как ты, лучше всего подойдёт Qubes. Остальное всё недоделано и возни много. OS-level виртуализацию вместе с изоляцией иксов предоставляют как минимум subgraph, subuser, kagome, может ещё какую непопулярную неудобную хрень сделали. Пользоваться этим малоприятно и к тому же малоосмысленно, если у тебя остаётся громадное TCB.

>>1601689
> Skype
> Docker
Что же не в kvm-то сразу? Так недостаточно изоляции. Доступ к ведру есть.
Палю годноту http://pastebin.com/whc8ggDB

>>1601867
>свободный доступ к иксам и сети
>/dev/video* mrw
Ещё один с магнитиками. Главное /etc/group и /etc/passwd закрыты, вот это защита!

>>1601896
> /etc/group и /etc/passwd закрыты
Предотвращает слив логинов. Наверное.
Я не знаю, зачем скайп читает /etc/passwd, и поэтому хочу, чтобы он его не читал.
> свободный доступ к иксам
И что оно из иксов получит? Заэксплуатирует уязвимость и... ?
> и сети
Тогда и контейнер фаерволом закрывать надо.

>>1601903
>И что оно из иксов получит?
Что угодно: скриншоты, лог ввода, возможность писать в открытый терминал.

>>1601779
>Защита уровня амулета из магнитиков.
И тут ты такой достаешь аргументацию!

>>1601867
Это что за руны?

>>1601910
> лог ввода
Пруф?

>>1602030
xinput test-xi2 --root
можно хоть из контейнера с прокинутыми иксами, хоть через ssh -X.

>>1571559
>1.5Гб для xp
Чот дохуя заводишь, скайпу с ХР хватит порядка 500МБ

>>1602220
Речь о месте на диске, а не оперативке.

>>1602256
А, ок. Ну на него тоже в общем пофиг, полтора гига не страшно. Тем более вообще ХР можно ободрать чтобы она занимала меньше.

>>1571408 (OP)
поясните за докер на пальцах
например при
docker pull node докер качает образ при чем там хуй проссышь че и где складывается, кучу файлов хешами вместо названия и прочее.
но суть в дргуом, в док файле я например вижу это
FROM buildpack-deps:jessie
оно типа качает мне минимальный образ дебиана и уже с него запускает?

>>1602309
Да, с помощью виртуалбокс.

>>1601779
В firejail тоже хотят изоляцию иксов через Xpra сделать: https://github.com/netblue30/firejail/issues/57 (как в subgraph и subuser).
А сейчас у них там изоляция уровня:
>In my opinion, the attacker will stay away from terminals. An xfce terminal is pretty visible on user desktop, and it is unclear to me how will he be able to manage the new window.
https://github.com/netblue30/firejail/issues/240
Вот это аргументы в защиту фанерной досочки! Этому говну ещё две сотни лайков наставили, я фигею.

>>1602697
Да, забавно.

>>1572679
А если там опеншорш типа Sumatra запускается? Кстати так и не нашёл годного аналога, evince говнецо в сравнении

>>1602063
Интересно девки пляшуть.
А что скажешь про XDMCP? Насколько я понял, это отдельный и таки изолированный инстанс иксов.

>>1572643
>Можно, но запуск графических программ несколько сложнее, особенно с OpenGL на проприетарных драйверах.
В чём заключается сложность?

>>1603910
Да не в чем особо. Тебе понадобится забиндить видяху и сокет для иксов в контейнер. Беда в том, что изоляция иксов в таком варианте отсутствует, т.е. мокрописька все еще может красть скриншоты и нажатые клавиши с хоста.
Сейчас как раз разбираю этот вопрос и ищу способы впилить изоляцию ввода-вывода без ощутимых оверхедов. Отпишу по итогам.

>>1603914
Давай. Сотни вайногеймеров тебя не забудут.

>>1603914
Алсо, можно же попробовать впилить туда дискретную видюху (в изолированный в контейнере вайн), а вне контейнера сидеть на встройке, или это совсем наркоманская идея?

>>1571408 (OP)
>Реализации прыщеконтейнеров
>OpenVZ
>LXC
>Docker
>systemd-nspawn
А я раньше думал что контейнер это файл подключенный как loop-устройство.
Где можно почитать про контейнеры в общем? В ОП-посте только про конкретные технологии.

>>1603916
Загляни в мультиОС тред, вайнострадалец. Если железо может - всё обрящешь без всяких вайнов.

>>1603917
Контейнеры это и есть контейнерные технологии. Технологии анального огораживания пипилитарного говнософта, тупоголовых юзеров и т.д.

>>1603919
Да нихуя оно не может, вся надежда на тебя, лол.

>>1603920
VT-d точно нету? Проверил?

>>1603923
http://www.ecs.com.tw/ECSWebSite/Product/Product_Detail.aspx?DetailID=858&MenuID=16&LanID=9
Да точно.

>>1597217
>Хоть один назови.
Pantheon. Не без недостатков, да, но во время луны были надежды на лучшее будущее. А на деле во фрее поломали много вещей, не починив старые - поэтому нынче популярность дистрибутива так катастрофически и падает.
Есть еще надежда на будущее deepin, но сейчас ДЕ крайне сырая и несколько непродуманная.
Всё остальное даже с обмазыванием всякими xenlism'ами выглядит говном, ну или, на крайний случай, говном, посыпанным пудрой.

>>1603995
>Ubuntu
>elementary
>Deepin
говноед/10

>>1604058
>>Ubuntu
Elementary убунту-бейсд, поэтому и определилось как убунта.
А про говноедство - что поделать, когда все остальные популярные ДЕ еще большее говно.

>>1597292
Cinamon - окружение
Banshee - аудио плеер

Говногайд по виртуальной машине на lxc от Анонимуса (на примере скайпа).

1)
Ставим lxc и гуй:
dnf (apt/pacman/yum/emerge) install lxc lxc-templates libvirt virt-manager

2)
Пилим директорию для контейнера, например
mkdir /opt/skype

3)
Кастуем создание контейнера (нельзя сделать через гуй, ой-вэй).
lxc-create --dir %ваша директория из п.2.% -n %придумайте имя% -t download -- -d ubuntu -r wily -a i386
Принципиальные хейтеры могут юзать вместо убунты хоть LFS.
i386 потому что скайп всё равно 32-битный, а мультилиб контейнер получится значительно тяжелее.

4)
Открываем virt-manager, тыкаем "создать", выбираем LXC и operation system container. В поле existing root OS dir вводи директорию из п.2.
Выделяем контейнеру память и процессор. 1 ядра и 512мб хватит с запасом.
Ставим галку costumize before install. В NIC указываем NAT. Позже это позволит огородить контейнер фаерволлом от доступа куда не надо.
Жмем Begin installation.

5)
Контейнер создан, теперь нужно поставить пароль. Гуй, опять же, не умеет.
su
chroot %директория из п.2% /bin/bash
passwd ubuntu
exit
exit

6)
Возвращаемся в гуй и логинимся в шелл контейнера, добавляем партнерские репозитории (в них лежит скайп):
sudo su
apt update
apt install nano
nano /etc/apt/sources.list
Дописываем в конец:
deb http://archive.canonical.com/ubuntu wily partner
deb-src http://archive.canonical.com/ubuntu wily partner
apt update


7)
Теперь таки ставим скайп:
apt install skype

Ставим xVNC. Если VNC вам богопротивен, пересоздайте контейнер с 64-бит архитектурой и используйте spice.
apt install vnc4server

8)
Проверяем работу VNC:

vncserver
пишем пароль

Узнаем ip контейнера
ifconfig

Ставим на хост любой VNC-клиент (например remmina).
Для подключения по VNC нужно обязательно указывать дисплей. Он указывается в поле ip через :, т.е. вместо 192.168.122.30 нужно писать 192.168.122.30:1, иначе кина не будет.

Если всё получилось, откроется серое окно с белой консолью. В нем уже можно запустить скайп, но для начала нам понадобится оконный менеджер.

9)
Ставим оконный менеджер по вкусу.
Если не знаете что и как ставить - хорошей идеей будет впилить минимальное ДЕ (так меньше настраивать):
apt install fluxbox


10)
Запиливаем автостарт всего барахла:

nano /etc/systemd/system/xvnc.service
Пишем:
[Unit]
Description=xvnc autostart

[Service]
ExecStart=/usr/bin/xvnc-autostart

[Install]
WantedBy=multi-user.target

nano /usr/bin/xvnc-autostart
Пишем:
#!/bin/sh
su -s /bin/sh - ubuntu -c "vncserver"

Перезагружаем контейнер.

Теперь при старте контейнера будут стартовать и VNC-сервер с lxde.
Скайп можно запустить командой из той самой белой консольки.

---------------------
В следующих сериях: как запилить звук, как огородить локальную сеть, как сделать нормальное разрешение, как пробросить в контейнер видеокарту и многое другое.