דרך מהירה לעטוף אתר בשביל L5 תחת podman ללא root

הייתי צריך לעשות פתרון מהיר ונקי שיעטוף אתר שמצד אחד יהיה לי פשוט להכנס אליו בליברם 5 (L5) ומצד שני ייתן לי איזה שהיא רמה של הפרדה, לא היה לי זמן לעשות אלקטרון בשביל האתר הזה או פתרונות אחרים, אז בחרתי פשוט ב podman.

הדרך שבחרתי היא לייצר פרופיל משתמש של דפדפן רק עבור האתר הזה, ואת הדפדפן להריץ תחת podman בצורה הזאת להפריד אותו חלקית ממערכת ההפעלה. לצערי בגלל שזה wayland לא הצלחתי לבצע ללא שימוש ב userns ולא הצלחתי להעביר קול, אבל במקרה הזה אין לי צורך בקול באתר הזה. ניסתי להעביר את /run/user/1000/pipewire-0 פנימה אבל הקול לא היה נשמע במכשיר (יש pipewire על ה L5 שלי).

מה שעשיתי הייה לייצר טסריט שמכיל את המלל הבא: 

  podman run --rm -e XDG_RUNTIME_DIR=/tmp  -e WAYLAND_DISPLAY=$WAYLAND_DISPLAY -v /home/mobian/pod:/home/  -v $XDG_RUNTIME_DIR/$WAYLAND_DISPLAY:/tmp/$WAYLAND_DISPLAY  --userns=keep-id:uid=$(id -u),gid=$(id -g) -t ff-esr:v2

את הפוד עצמו ייצרתי מהקובץ הבא:

FROM debian:bookworm
COPY sources.list /etc/apt/sources.list
RUN apt-get update 
RUN DEBIAN_FRONTEND=noninteractive apt-get install -y -f firefox-esr
ARG user=user
ARG group=user
ARG uid=1000
ARG gid=1000
RUN groupadd -g ${gid} ${group} -f
RUN useradd -u ${uid} -g ${group} -m ${user}

USER ${uid}:${gid}
CMD ["firefox-esr"]

  

לאחר מכן מייצרים קובץ desktop שמפעיל קובץ bash שמכיל את ההפעלה הזאת, את הקובץ צריך לשים תחת 

/home/mobian/.local/share/applications/fafus.desktop

 בתוך הקובץ desktop שמים קישור להפעלה לדוגמא:

 

[Desktop Entry]
Type=Application
Name=Fancy App for Useless Site
Icon=/home/mobian/src/fafus/app.png
Exec=/home/mobian/src/fafus/app.sh
Terminal=false
X-Purism-FormFactor=Workstation;Mobile;

הגישה הזאת ממש לא מאובטחת, כי יש גישה לכל ה namespae של המשתמש המקומי ומשתמשים בWayland משותף, לכן בתאוריה אם  אותו הדפדפן מופעל במכשיר אז יכולה להיות התקפה דרך ה IPC או התקפה מבפנים החוצה דרך wayland  .

 

האם ניתן היה להשתמש ב flatpak ? כן אפשר , אבל אני סומך על flatpak של מוזילה פחות ממה שאני סומך על אריזה של דביאן (או אחרים לשם העניין) בתוך ההפצות.