Александр Ларсон (Alexander Larsson), активный разработчик GNOME и мантейнер таких проектов, как Nautilus, Gnome-vfs и Dia, рассказал (http://blogs.gnome.org/alexl/2015/02/17/first-fully-sandboxe.../) об успехах в реализации самодостаточных контейнеров (http://www.opennet.ru/opennews/art.shtml?num=41514) для запуска графических приложений, не привязанных к конкретному дистрибутиву Linux. На примере игры Neverball (http://neverball.org/) сформирована первая полноценная сборка приложения, демонстрирующего возможности поставки графических приложений в форме контейнеров. Сформированное для приложения изолированное окружение полностью независимо от используемого дистрибутива, не имеет доступа к файлам и процессам пользователя или основной системы, не может напрямую обращаться к оборудованию, за исключением вывода через DRI, и сетевой подсистеме. Подготовленный контейнер пока пригоден для запуска в Fedora 21, так как требует наличия в системе таких ещё не получивших повсеместного распространения технологий как протокол Wayland и система обмена сообщениями kdbus (http://www.opennet.ru/opennews/art.shtml?num=41478), которые применяются для организации взаимодействия начинки контейнера с внешней средой. Вывод графики и организация ввода производится только через Wayland (X11 не поддерживается). Для вывода звука применяется PulseAudio. Обеспечение изоляции контейнера основывается на использовании cgroups, пространств имён (namespaces) и SELinux.
Из ограничений, которые планируется устранить в будущем, отмечается отсутствие API для предоставления пользователем выборочного доступа к внешним файлам и устройствам, а также организация разделения между собой клиентов PulseAudio.
<center><iframe width="640" height="360" src="https://www.youtube.com/embed/h679usZUn4U?rel=0" frameborder="0" allowfullscreen></iframe></center>
URL: http://blogs.gnome.org/alexl/2015/02/17/first-fully-sandboxe.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=41682