Prihlaseni do GUI v kontejneru

Jan Kasprzak kas na fi.muni.cz
Pátek Leden 17 21:38:59 CET 2020


	Ahoj,

Martin `MJ' Mares wrote:
: > 	Zamer je udelat specialniho uzivatele/session pro ucely
: > prakticke zkousky u pocitace tak, aby ten uzivatel mel k dispozici vsechny
: > lokalni nastroje (vim, gcc, ...) co mu tam nainstalujeme, ale nikoliv
: > pristup k siti. Tak se mi jevi kontejner bez pristupu k siti jako rozumna
: > volba. Mozna by to slo udelat i jinak (SELinux?).
: 
: Nestačilo by přidat do iptables pravidlo filtrující provoz podle uid nebo gid?

	Spis ne, protoze (napriklad) jini uzivatele maji na tentyz stroj
automontovane home adresare, ke kterym nechci, aby se ten zkouskovy
uzivatel dostal.

	Ale tak mozna pujde udelat systemd-nspawn kontejner, nabindovat
do neho /tmp/.X11-unix/X0, a nechat spoustet session v nem. Jen by to chtelo
nejak vyresit, aby si tento zkouskovy uzivatel nemohl prekliknout
na jinou session.

-Y.

-- 
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| http://www.fi.muni.cz/~kas/                         GPG: 4096R/A45477D5 |
      But fortunately wifi has a few, uh, interesting design choices
      that mean we can still do something.         --Matthew Garrett


Další informace o konferenci Linux