Посты это хорошо, но малобукаф. Подумал было о гитхабе, но ведь там ни строчки не будет по-русски. Так что продолжим тут.

Я не первый, кто слез с Qubes и пытается замутить аналогичное, но полегче. Я подсел на LXC и вот что получается:

• Базовая система - Devuan. В терминах Qubes это Dom0. Тут крутится Sway под непривилегированным юзером.

• Сетевой контейнер. Тут живут все физические адаптеры, несложный фаервол на nftables с DNAT ssh в базовую систему. Плюс, apt-cacher-ng. Внешний адрес может меняться как угодно, внутренний, остаётся по-настоящему статическим и никакая мало-мальски сложная маршрутизация никогда не слетает. TODO: udev rule для закидывания USB адаптеров в этот контейнер.

• Дополнительные сетевые контейнеры для всяких VPN, Tor, и прочего.

• Набор пользовательских контейнеров. Гуёвые софты работают в Weston, который получается вложенный в Sway. Это самый минималистичный рабочий вариант. Ничего другого я пока запустить не смог.

Логин-менеджера нет. Есть вот такое в /home/user/.profile:

# if logged in from console
if [ x"$TERM" = "xlinux" ] ; then
    # start Sway
    if [ ! -e "${XDG_RUNTIME_DIR}/wayland-1" ] ; then
        sway
    fi
fi

Интеграция с контейнерами прописана в конфиге sway вот так:

exec_always sudo /usr/local/bin/start-user-containers user

Скрипт устанавливает нужные ACL и запускает контейнер, из которого Weston стучится к Sway.

Всё супер минималистично, я же развращён XFCE и пока только плююсь. Но с оптимизмом.

Всё-таки пора заводить репку.

Всем пока, спокойной ночи.