Изоляция процессов и минимизация привилегий: использование Linux namespaces и seccomp

[kenomimi]

Это всё выглядит красиво только в примере для хелловорлда. Когда же дело доходит до нормального софта, особенно десктопного или корпоративного, то оказывается, что Х в фоне запускает Y и Z, посылает запросы демонам 1, 2, 3, использует тучу системных вызовов, ... - короче, без полного аудита исходников выставить нужные ограничения не выходит. А это браузер, приложение KDE или еще что-то жирное с кучей связей. Упс, приехали, стоимость решения (в особенности его поддержки) настолько высока, что куда проще наглухо изолировать сеть от интернета, выключить usb-порты, и анализировать цифровое поведение сотрудников...

А вот для личного пользования крайне удобная штука, чтобы, например, пускать некоторые приложения через VPN, а некоторые нет. Или не дать особо любопытным рыться в общей ФС. Даже если что-то сломается - а оно непременно сломается - пользователь один - можно починить и костыльно.

[redfox0]

podman делает почти всё из коробки.

[D1abloRUS]

Есть же

capabilities:
  drop:
  - ALL

Это покроет 99%

Чтобы совсем упороться:

securityContext:
  runAsNonRoot: true
  runAsUser: 1000
  allowPrivilegeEscalation: false
  privileged: false
  capabilities:
    drop:
    - ALL
  readOnlyRootFilesystem: true