[BraLUG] Links zum Vortrag: BraLug Vortrag: Container auf dem Desktop

andre andre at monsterpenguin.de
Fr Jul 14 09:06:37 CEST 2017 

Moin,

zum Nachlesen für die Mittagspause oder dem verfrühten Feierabend, hier
ein paar Links zu weiterführender Literatur zu den gestrigen Themen.

Zur Erinnerung, nachdem wir festgestellt haben, dass es nicht DEN
Linuxcontainer gibt, schauten wir uns die Kernelfeatures an, die in
vielfältigen Kombinationen genutzt werden. (Namespaces, Cgroups,
Seccomp,.. )
Die Techniken dienen primär der Isolierung und Resourcenbeschränkung. 
Sicherlich sind Eigenschaften umgesetzt die primär Sicherheitsaspekte 
verbessern, aber dennoch laufen alle Prozesse mit dem selben Kernel und 
es gibt keine besonderen Hardwareanforderungen.
Der Fokus lag auf Techniken für den Desktop/Notebook und nicht auf 
Massendeployment oder Hochskalierbarkeit. Das ist ein ganz anderes Paar 
Schuhe und kann mal separat vorgestellt werden.

Zu systemd-nspawn finde ich das Archwiki[0] ganz gut.
[0] https://wiki.archlinux.org/index.php/Systemd-nspawn

Die Projektseite[0]  zu LXC und LXD, mit try it!-Umgebung für LXD
Zum älteren LXC gibt es eine merteile Artikelserie[1] , die auch GUI in
LXC beschreibt.
[0] http://linuxcontainers.org/
[1] https://stgraber.org/2014/02/09/lxc-1-0-gui-in-containers/

Zum Einsperren von Anwendungen jeglicher Art, eignet sich Firejail[0]. 
Mit Firetool gibt es auch was zum klicken. Getestet hab ich das in 
Ubuntu 17.04, da sind beide paketiert. Auf Debian 9 hab ich nur firejail 
gefunden.
Um auf die Frage von Stefan zurückzukommen, wie man Applikationen ohne
extra aufruf einsperrt. Das haben die hier im Archwiki[1] erklärt.
[0] https://firejail.wordpress.com/
[1] https://wiki.archlinux.org/index.php/Firejail#Using_Firejail_by_default

Wer das System drumrum noch etwas härten will, findet hier eine
mehrteilige Blogartikelserie mit firejail im letzten Teil.
https://www.kuketz-blog.de/sicheres-desktop-system-linux-haertenl-teil1/


Vertiefend noch weitere Materialien:
Nur angerissen hab ich dass es neben privileged auch unprivileged 
container gibt. Der Hauptunterschied ist als welcher User der Container 
läuft. Root vs. ein anderer User.
https://unix.stackexchange.com/questions/181341/what-are-benefits-and-downsides-of-unprivileged-containers

http://rhelblog.redhat.com/2015/07/29/architecting-containers-part-1-user-space-vs-kernel-space/

Viel Spaß beim lesen,
André

Mehr Informationen über die Mailingliste Bralug