В чём смысл делать vpn vless 3x-ui панель в Докере? каждый второй гайд об этом говорит?

AppArmor

Я пользовался только selinux. Сложно, огромный микроменеджмент, всё равно нужно помнить о других методах защиты, но именно он выбран дефолтом для андроида. AppArmor создан , чтобы быть проще и легче, но я им не пользовался.

Тут стоит отменить, я сам не эксперт высших Linux-наук. Я что-то такое вроде делал, но виртуализация всегда была для меня в приоритете. Как я понял, ты искал рубильник запретить, но логика systemd обратная: сначала ты тотально изолируешь службу с помощью ProtectSystem= и PrivateDevices= , а затем директивами ReadWritePaths= и ReadOnlyPaths= прорезаешь узкие щели к нужным файлам и директориям. У systemd есть одна большая проблема, в её арсенале есть масса вещей, которые нормально не задокументированы или документация вводит в заблуждение. Часто ты узнаешь некоторые возможности не из документации, а из форумов, например с того же LORа и экспериментов.

Для более простой работы с песочницами, просто systemd не лучший вариант из-за меньшей интуитивности. Для песочниц есть современный Bubblewrap, есть более старые аналоги. Все эти механизмы (кроме виртуализации и в чём-то selinux) это разные надстройки над одними и теми же ядерными механизмами.

1 Like

Понятно, благодарю. Если бы не ркн, я с линуксами бы и не работал.

Теперь понял, почему не работало, попробую как-нибудь.

По этой причине я и забил.

Я вижу в этом двойную иронию.
Во-первых, потому что РКН и systemd похожи, сначала запретить всё, а потом решить, что и как всё-таки можно.
Во-вторых, потому что РКН проагандирует Linux в массы.

1 Like