Re: Запуск гуевых приложений в контейнере
Maxim Nikulin wrote: > 03.06.2020 14:29, Dmitry Alexandrov пишет: >> Авторизация на Икс-сервере будет по UIDʼу, так что если не совпадают, то >> надо явно разрешить, причем я не знаю, как это сделать не давая UIDʼу имя на >> хосте, чтобы мочь приказать: >> $ xhost +si:localuser:stanislav >> >> Кто знает, подскажите. > > Добавить "#" > > xhost +si:localuser:#$UID О! Точняк, спасибо. А почему же я этого не нашел, где же это документировано... > https://stgraber.org/2014/02/09/lxc-1-0-gui-in-containers/ Мерси, подшил. signature.asc Description: PGP signature
Re: Запуск гуевых приложений в контейнере
Victor Wagner wrote: > В Wed, 03 Jun 2020 10:29:54 +0300 Dmitry Alexandrov <321...@gmail.com> пишет: >> 1. Включить ‘-listen tcp’ у Икс-сервера. Как — см. в документации экранного >> диспетчера, который его собственно по-умолчанию и отключает. > > Ага, а потом еще убедиться, что это надежно заткнуто файрволлом и пустят туда > только из контейнера, а не изо всей локальной сети. Ну, вообще-то там аутентификация есть, и сломанной она, вроде как не считается. Ну а так — естественно, что файерволл к любому серверу не помешает. И вы, конечно, правы, стоит иногда напоминать о его существовании явно. > Лучше уж как ниже описано смонтировать в контейнер юникс-домен сокеты из > /tmp/.X11-unix Смотря в каком случае. В том, с какого мы начали — когда почти вся настольная система засунута в контейнер — да. А в другом — управлять доступом непонятно как: соединения от локальных отличаться перестают совсем. > В принципе, в сочетании с предыдущим советом достаточно просто ~/.Xauthority > в контейнер скопировать. Потому что при этом значение DISPLAY внутри и > снаружи будет совпадать, и магическое печенье подойдет. Если «предыдущий совет» — это про прокинуть сокет, то, как я и написал ниже, при обычных умолчаниях аутентификация пройдет по UIDʼу и безо всякого токена («магического печенья»). >> Авторизация на Икс-сервере будет по UIDʼу, так что если не совпадают, > > А вот не стоит делать так, чтобы не совпадали. Есть куча разных причин по > которым лучше uid-ы синхронизировать Да, конечно. Просто это не всегда подходит по смыслу. signature.asc Description: PGP signature
Re: Запуск гуевых приложений в контейнере
Stanislav Vlasov wrote: > 03.06.2020, Dmitry Alexandrov<321...@gmail.com> написал(а): >>> Честно говоря, не в курсе, можно ли в контейнерах штатным образом запускать >>> гуёвый софт с отображением его окон на локальных иксах без всяких ssh -X в >>> контейнер >> >> Да, естественно, ибо с каких это пор Иксам стали требоваться всякие костыли >> типа ssh для отрисовки окон на другой машине? > > Ключевые слова - авторизация и шифрование. Шифрование трафика виртуальной сети на локалхосте? А авторизация в Иксах есть, вы же сами про нее ниже пишете. > Ну и меньше геморроя - сравните манипуляции с опциями запуска иксов, > потенциально открывающие дыру для всех + xhost и простой запуск ssh -X Да оно понятно. Но раз уж спросили про штатные средства... >> 2. разрешить к нужной инстанции доступ для нужного контейнера: >> >> $ xhost +inet:192.168.122.11 $ xhost +inet6:fd34:fe56:7891:2f3a::11 > > Сразу нет, я как-то не готов давать доступ любому приложению без хотя бы > XAUTH. Я вам, как бы, и не предлагаю. ;-) Мы обсуждали случай, когда у колоименного товарища вся настольная система в контейнере будет. >> Единственное, я как-то так и не понял, работает ли это с link-local >> адресами, которые fe80::/10. Кто понял, подскажите. > > А чем этот адрес от других ipv6 так сильно отличается Тем, что он обязан быть уникальным только в пределах сети второго уровня. А отсюда какой-нибудь fe80::5054:ff:fed1:a17d — он по-хорошему fe80::5054:ff:fed1:a17d%virbr0. > в этом месте? А конкретно в этом месте оно у меня в свое время просто не заработало. А не-link-local — заработал. Возможно, это связано, возможно — нет. >> Другое дело, что толку-то? Одних Иксов далеко не всякому гую достаточно. >> Доступа к отрисовке на GPU Иксы же сами по себе не дают. > > Это совершенно другой вопрос - игры и игроподобные вещи Да что там игры! У нас даже GTK не прочь отрисовку на GPU заиметь. Хотя GTK-то, конечно, без него обойдется, а вот, например, видеоплэйер уже нет. > Скорее, поставить права на .Xauthority (вероятно, через setfacl) + > пробрасывать данный файл тоже Да по-хорошему токен не должен меняться против вашей воли, так можно его просто и скопировать. signature.asc Description: PGP signature
Re: Запуск гуевых приложений в контейнере
06.06.2020, Dmitry Alexandrov<321...@gmail.com> написал(а): Честно говоря, не в курсе, можно ли в контейнерах штатным образом запускать гуёвый софт с отображением его окон на локальных иксах без всяких ssh -X в контейнер >>> >>> Да, естественно, ибо с каких это пор Иксам стали требоваться всякие >>> костыли типа ssh для отрисовки окон на другой машине? Тут вы пишете "на другой машине" >> Ключевые слова - авторизация и шифрование. > > Шифрование трафика виртуальной сети на локалхосте? А авторизация в Иксах > есть, вы же сами про нее ниже пишете. А тут уже спрашиваете про локалхост. Что касается авторизации в иксах - её может и достаточно, но открывать ещё одну дырку для атаки по сети мне как-то не нравится, как и прикрывать её фиговым листочком файрволла. Ноут таскается не только дом-работа. >>> Единственное, я как-то так и не понял, работает ли это с link-local >>> адресами, которые fe80::/10. Кто понял, подскажите. >> >> А чем этот адрес от других ipv6 так сильно отличается > > Тем, что он обязан быть уникальным только в пределах сети второго уровня. А > отсюда какой-нибудь fe80::5054:ff:fed1:a17d — он по-хорошему > fe80::5054:ff:fed1:a17d%virbr0. Два одинаковых макадреса на одной и той же машине - не встречал пока что. Разве что, когда сам ставил. >>> Другое дело, что толку-то? Одних Иксов далеко не всякому гую достаточно. >>> Доступа к отрисовке на GPU Иксы же сами по себе не дают. >> >> Это совершенно другой вопрос - игры и игроподобные вещи > > Да что там игры! У нас даже GTK не прочь отрисовку на GPU заиметь. Хотя > GTK-то, конечно, без него обойдется, а вот, например, видеоплэйер уже нет. Хм... Вот тот же телеграм мне вполне себе показывал видео по ssh до виртуалки с хождением трафика через пару провайдеров. Да и vlc с mplayer ещё умеют вывод на x11. Да, трафик. Да, в полный экран тормозило. Но работало. Так что всё относительно. Совать в контейнер плеер неизвестного происхождения при наличии вполне себе устраивающего локального mpv/vlc - это извращение, по-моему. Впрочем, как и показывать декодированное видео за 7 хопов по обычному инету. >> Скорее, поставить права на .Xauthority (вероятно, через setfacl) + >> пробрасывать данный файл тоже > > Да по-хорошему токен не должен меняться против вашей воли, так можно его > просто и скопировать. Ну или так. Заодно забить на соответствие uid внутри и вне контейнера - файл доступен, сокет доступен, а что uid не соответствует - иксам пофиг, они вообще от рута запущены. -- Stanislav
Re: Запуск гуевых приложений в контейнере
Stanislav Vlasov wrote: > иксам пофиг, они вообще от рута запущены. Ну это у кого как. GDM — тот из коробки от пользователя запускает. signature.asc Description: PGP signature
Re: О вольных и невольных врагах свободного Интернета
sergio wrote: > On 18/04/2020 19:00, Maxim Nikulin wrote: >> Другие архивы рассылок тожеg не понравились? > > gmane был гораздо удобнее остальных архивы lists.debian.org не самые ужасные, > но да, я не видел ни одного приличного, что бы-хоть чуть-чуть понравился или > был удобен Странно. Судя по тому, что приличным и удобным вы в итоге нашли «Дискурс», и по тому, как вы печетесь за свой адрес э-почты, я думал, что уж Гугловский-то [0] вам пришелся по душе. [0] https://groups.google.com/forum/#!topic/linux.debian.user.russian/ebIxG8z7tA4 signature.asc Description: PGP signature
Re: О вольных и невольных врагах свободного Интернета
n...@nxmail.org wrote: > On Monday, April 13, 2020 9:52 PM, Dmitry Alexandrov <321...@gmail.com> wrote: >> Я, честно говоря, не уловил вашей мысли. Какое RSS лента имеет отношение к >> тому, что по-нормальному (вот как сейчас) я пишу и точно знаю, мое письмо >> будет доставлено вам вне зависимости от воли цензоров и без малейших >> задержек на проход через третьи руки, а «Дискурс» принципиально замыкает >> весь поток писем на себя? > > Я почти понял ваше возмущение цензурой и централизацией. Но потом увидел, что > в нашей с вами переписке уже есть один цензор. Если уж взялись натягивать сову, то натягивайте до конца — _два_ «цензора». Ну, коль скоро у нас разные почтовые провайдеры. > Скажите, вы понимаете, что > а) ваш почтовый ящик может быть удалён или заблокирован в любой день без > предупреждения и объяснения причин А это что, такая большая ценность? Думаю, что незанятых наборов случайных цифр там на всех хватит. > б) каждое ваше входящее и исходящее письмо читает ваш "почтальон"? Ну хоть кто-то мою писанину читает! > зачем вы поддерживаете в прямом смысле словом главного (моё мнение) > нарушителя свободы в Интернете? Я хотел было написать, что мнение ваше глубоко ошибочно: Гуглопочта остается одной из немногих популярных, которой все еще можно полноценно пользоваться _без_ несвободных программ. Однако взялся перепроверить этот факт, и обнаружил, что шиш там — оказывается, уже с полтора года как [1] туда нельзя залогиниться. Все остальное еще работает без проприетарщины, но да, это уже не то, что стоит рекламировать по спискам рассылки личным примером. Так вашей душе спокойнее? > ваш "почтальон" - один из главных наблюдателей и лоббистов коммерческих > интересов в сегодняшнем Интернете. Вы так говорите «коммерческий» как будто это что-то плохое. > И как вы представляете себе цензуру в лице теоретического Debian Discourse > Master? Вы никогда не видели цензоров на форумах, и даже вообразить их себе не можете? Вы это серьезно? Покажите мне хоть один форум без таковых? >>> Там, где есть Discourse, я просто не пользуюсь почтой. Есть свободное время >>> - открыл, почитал, ответил, закрыл. Мне так удобнее. >> >> Бинго! Вот именно это и есть то, что делает переход с почты и Юзнета¹ на >> «Дискурс» не просто вопросом чьего удобства или чьей-то привычки (это все >> вкусовщина), а враждебным свободному Интернету актом. >> >> На сколько таких площадок вы заходите, когда у вас «есть свободное время»? >> На две, на три, на пять? А что прикажете делать остальным? Тихо загнуться >> без посетителей, да? >> >> И ведь что характерно, сами себе «дискурсмастера» получаются врагами. >> Сегодня убьют lists.debian.org, чтобы завтра был discourse.debian.net — >> послезавтра ждите debian.stackexchange.com. >> > Не понимаю, поясните. Чем отличается "нет времени, не прочитал, не ответил на > письмо" от "нет времени, не зашёл на Discource" Покажите, пожалуйста, как вы зайдете на двадцать «Дискурсов» разом. > Современные люди зачастую, столкнувшись с проблемой в популярном > Линукс-дистрибутиве, максимум спросят решение в соц. сетях, где у них есть > аккаунт, а потом перейдут на закрытую ОС. Эх, как же я люблю, когда дискутант сам начинает разбивать свою позицию. >> Надо же, а что за страна, если не тайна? Так или иначе, именно из такого >> положения и надо особо остро ощущать необходимость децентрализации, а не >> петь осанну тем, кто вольно (как какой-нибудь «Протонмэйл») или невольно >> (как дебиановцы) вбивает последние гвозди в крышку гроба старого доброго >> Интернета. > > Протонмэйл - это почтальон, который не вскрывает Как это? Если вы письмо надежно запечатали в криптообертку, то вскрыть его сможет только адресат. А если письмо открытое, то его и вскрывать нечего — оно открытое. > и не читает мои письма, Это они вам сказали, да? > и не позволяет это сделать другим. Да ладно? Это как? Есть только один способ не позволить третьим лицам прочесть сообщение — зашифровать его. Но во-первых, я что-то не вижу, чтобы это вас в самом деле беспокоило. Вот как вы мне прикажете вам лично написать, чтобы ваши чувства параноика не обидеть? Я, конечно, все уголки и закоулки Интернета не обшаривал, но — ни в DNS ни по одному из трех стандартов (PKA, CERT, DANE), — ни в WKD, — ни на развалинах пула SKS, — ни в новой открытой сети Honeypuck в лице keyserver.ubuntu.com, — ни у проприетарных сервисов keys.openpgp.org и keys.mailvelope.com, [2] — ни в заголовках вашего письма (ни «автокриптом», ни иначе), — ни в его подписи (каковой вообще нет), я вашего ключа не нахожу. А во-вторых, вы, очевидно, просто позабыли (ну или не знали), с чего этот ваш «Протонмэйл» начинал несколько лет назад. А хватило у них неосторожности начать с того, чем впору заканчивать, уже подмяв под себя львиную долю рынка: с _невозможности_ отправлять шифрованные письма. Получать — пожалуйста, а отправить можно было только листовку вида «я пользуюсь замечательной швейцарской почтой Protonm
Re: О вольных и невольных врагах свободного Интернета
Artem Chuprina wrote: > Dmitry Alexandrov -> n...@nxmail.org @ Tue, 14 Apr 2020 00:52:44 +0300: > >>> n...@nxmail.org">--protonsignature--...@nxmail.org wrote: > можно общаться почти в режиме реального времени. > >>> > >>> Так или иначе, нет ничего более незаменимого для элегантного перехода от > «заметил интересное письмо в паблике» в режим «треплемся в реальном времени», > чем полноценная децентрализованная почта: ведь круг адресатов «реального > времени» всегда счетен и конкретен, так что любые задержки на проход письма в > их направлении через сервер рассылки не «почти», а полностью устранятся. > >> > >> Публикуете для своего сервера RSS ленту, открытую для всех, без браузера > и JavaScript. Так лучше? > > > Я, честно говоря, не уловил вашей мысли. Какое RSS лента имеет отношение > к тому, что по-нормальному (вот как сейчас) я пишу и точно знаю, мое письмо > будет доставлено вам вне зависимости от воли цензоров и без малейших задержек > на проход через третьи руки, а «Дискурс» принципиально замыкает весь поток > писем на себя? > > Доставлено куда? На lists.debian.org? Адресату, лично в руки. На nxmail.org. А на lasgalen.net не доставлено, да — но это только потому что _вы_ мой почтовый агент так попросили, прописав урезанный Mail-Followup-To. (Заметьте, к слову, что я себе писать «на деревню дедушке» не просил, совсем даже наоборот.) > Чем это не "lists.debian.org замыкает весь поток писем на себя"? Тем, что это был ваш личный выбор, lists.debian.org вам его не навязывал и даже не советовал. > И с хренов ли "вне зависимости от воли цензоров"? Даже тут, где народ > продвинутый, у многих провайдерами почты являются толстые сервисы, которые > могут не принять что угодно откуда угодно по воле цензоров. > > >> Dmitry Alexandrov <321...@gmail.com> wrote: > > Начиная вот лично с тебя. Божечки-убожечки, еще один. Как же этот психофеномен называется — этакий перфекционизм в страдательном залоге: когда грань дискомфорта малейше перейдена — и дальше хоть в бараний рог загибай, хоть цак в нос вешай — любая «новая нормальность» зайдет безропотно... Не напомните? signature.asc Description: PGP signature
Re: Запуск гуевых приложений в контейнере
06.06.2020 22:45, Dmitry Alexandrov пишет: Maxim Nikulin wrote: Добавить "#" xhost +si:localuser:#$UID О! Точняк, спасибо. А почему же я этого не нашел, где же это документировано... Xsecurity(7). Только не помню, сам я это нашел по "see also", или попался готовый рецепт. Лень искать или шаманить самому plugin к firefox, который показывает историю по-человечески.
