Email or username:

Password:

Forgot your password?
Joinny's posts Post Back to profile
Joinny Hash

Задумался тут, есть ли простой способ ограничить capabilities софта в flatpak?
Хочу попробовать целиком обрезать Obsidian'у доступ в сеть и к файловой системе. В теории с этим должен справиться selinux/apparmor.

13 November at 16:05 | Open on lor.sh
15 comments
MrClon
gleb.zhulik
Digitual :ablobcatwave:

@strizhechenko а где он тогда будет хранить инфу, если к фс доступа не будет?

13 November at 16:08 | Open on lor.sh
Joinny Hash

@Parabrando @strizhechenko в папке, куда разрешу, но за её пределами - ни ни.

13 November at 16:09 | Open on lor.sh
Digitual :ablobcatwave:

@strizhechenko а ему разве требуется большее?

13 November at 16:27 | Open on lor.sh
Joinny Hash

@Parabrando Понятия не имею и не хочу!
Просто хочу вести дневник в штуке и быть уверенным, что она:
1. Не сливает его куда-то в интернет сама
2. Не исполняет что-то в системе для его слива
3. Не прихватывает заодно что-то ещё.

13 November at 16:54 | Open on lor.sh
Joinny Hash

Усложняем: простой и понятный способ. То есть чтобы за час можно было вычитать код и принять решение, доверяю я ему или нет. Selinux и apparmor я доверяю (на слуху с десятилетия).

13 November at 16:19 | Open on lor.sh
Alexey Skobkin

@strizhechenko
Очевидный вопрос, но ты спрашивал у ChatGPT? 😃

13 November at 16:41 | Open on lor.sh
Joinny Hash

@skobkin увы, нет, я слишком тупой чтобы понять, где оно живёт и отвечает ли бесплатно.

13 November at 16:54 | Open on lor.sh
Alexey Skobkin

@strizhechenko
Оно живёт на chatgpt.com и есть суточные лимиты, за которые можно очень продуктивно решить какие-нибудь вопросы. Главное корректно погрузить в контекст.
Но, само собой, учётку надо создавать и юзать через VPN/Socks. В случае носков надо проксить запросы до *.chatgpt.com и *.openai.com.

13 November at 17:00 | Open on lor.sh
Joinny Hash

Странно. Посоветовали override, но то ли я его использую неправильно, то ли он тупо не работает, но то что советовали и то что нашёл на реддите (синтаксис, вероятно поменялся между версиями) не сработало (проверял tpcdump'ом).

Ну я и полез в основной системный конфиг, взял да поправил.

[Context]
# shared=network;ipc;
# sockets=x11;wayland;pulseaudio;ssh-auth;
# filesystems=home;/media;xdg-run/gnupg:ro;/mnt;/run/media;xdg-run/app/com.discordapp.Discord:create;
# persistent=~/.ssh;

sockets=x11;wayland;
devices=dri;
filesystems=/path/to/my/vault/;

Вот так нравится.

Странно. Посоветовали override, но то ли я его использую неправильно, то ли он тупо не работает, но то что советовали и то что нашёл на реддите (синтаксис, вероятно поменялся между версиями) не сработало (проверял tpcdump'ом).

Ну я и полез в основной системный конфиг, взял да поправил.

[Context]
# shared=network;ipc;
# sockets=x11;wayland;pulseaudio;ssh-auth;
# filesystems=home;/media;xdg-run/gnupg:ro;/mnt;/run/media;xdg-run/app/com.discordapp.Discord:create;
# persistent=~/.ssh;

13 November at 17:15 | Open on lor.sh
1lyaP

@strizhechenko Так у флатпака же sandbox есть: docs.flatpak.org/en/latest/san

Там с сетью только туповато сделано: либо вкл, либо выкл. iptables/ufw надо допиливать. А всё остальное вроде нормально работает.

13 November at 16:51 | Open on lor.sh
Мантисса :CrabVerified:

@strizhechenko в KDE есть встроенный в настройки модуль управления разрешениями флатпаков

13 November at 17:22 | Open on craba.cab
Go Up