>[оверквотинг удален]
>>> есть вайн, есть вариант вайна с дх9 через нативный драйвер
>>> его нет в оффрепах
>>> я так понял что ваш вариант действий - "ничего сделать нельзя, валите
>>> в винду" ?
>>> видь мы не можем установить себе вайн-найн для запуска его в контейнере
>> Эм. То есть человек, которому нужен Wine, который в свою очередь нужен
>> для запуска чёрт знает чего бинарного, переживает, что ему сам Wine
>> подсунут какой-то не такой? Вы не того боитесь, определённо.
> и не доверяю репу вайннайна
> вайннайн и НЁХ в нём я буду запускать в контейнере Опасное приложение в контейнере? Смело, смело.
Почему бы просто не собирать wine самому? Написать один раз скрипт, если процесс не тривиален, и вперёд. Не?
> и я не хочу при каждом старте контейнера инсталить в нём в
> него вайннайн
Поставьте один раз и сделайте снапшот, делов-то. Потом запускаете контейнер прямо со снапшота.
> я хочу безопасно установить вайннайн в систему (тем более что он ставится
> в /opt/wine-d3d9-staging/ сам по себе)
> теперь вы поняли чего я боюсь? я не могу безопасно установить опасное
> приложение в систему, но могу безопасно запускать опасное приложение
Опасное приложение вы можете запускать «безопасно» только на отдельной физической машине, с физически отключенными средствами связи с внешним миром. Конечно, в этом случае остаётся риск быть запрограммированным через 255-й кадр, но это уже на «Рен-ТВ». :)
Если в случае с полноценной виртуализацией ещё о каком-то повышении безопасности говорить можно (и то с оговорками на тему наличия штатных и нештатных backdoor к хост-системе), то с контейнерами это вообще смешно. У вас ядро в контейнере то же самое крутится, между прочим! Конечно, напрямую из контейнера к вашим личным файлам будет сложнее достучаться, но это отсеет лишь самых наивных скрипт-кидисов.
Вы ведь из-под этого wine, как я понимаю, ещё и графические приложения запускать будете? То есть вы будете допускать то самое опасное приложение к своему X-серверу? А вы в курсе, например, что X-клиенты (окна, если очень грубо говоря) друг от друга НИКАК не изолированы и могут свободно, например, считывать содержимое друг друга и отправлять друг другу что угодно?
В общем, если вы действительно заботитесь о своей безопасности, то для начала забудьте про wine и чужеродные бинарники в принципе, со скриптами и без оных. Иначе все ваши усилия не будут стоить и ломаного гроша... Ну или расслабьтесь, выделите машину сугубо для игр и прочих развлечений и ставьте на ней что и как хотите, только пароли от других систем никогда на ней вводите.
Как-то так.
