Trop de dépôts tiers : comment isoler proprement les applications?

Pause Café
, ,
Tags: #<Tag:0x00007f50a6bccc78> #<Tag:0x00007f50a6bccb60> #<Tag:0x00007f50a6bcc9a8>
#1

Bonjour,

Je commence à avoir beaucoup de dépôts tiers. Jugez plutôt :

~# tree /etc/apt/sources.list.d/
/etc/apt/sources.list.d/
├── atom.list
├── atom.list.save
├── docker.list
├── geogebra.list
├── geogebra.list.save
├── home:sfztools:sfizz.list
├── kxstudio-debian-ppas-2.list
├── kxstudio-debian-ppas.list
├── nodesource.list
├── nodesource.list.save
├── spotify.list
├── spotify.list.save
├── steam-beta.list
└── steam-stable.list

1 directory, 15 files

Or, j’ai décidé que je ne souhaitais plus faire intégralement confiance à une partie de ces dépôts. De plus, j’ai le projet d’installer d’autres logiciels propriétaires.

En réalité, je n’ai pas trop peur que les applications puissent voir mon répertoire personnel (si besoin, je crée un autre utilisateur), mais je n’ai pas envie que ces logiciels forcent le remplacement d’une lib essentielle par une librairie potentiellement vérolée.

Alors j’ai deux solutions : soit je désinstalle complètement ces logiciels (ce que je ne souhaite pas), soit j’essaie de les isoler un peu mieux de mon système.

J’ai une machine relativement puissante qui me permettrait probablement de faire de la virtualisation assez facilement, mais je veux explorer diverses options.

  • Docker serait probablement ma solution n°1 : je ne sais pas comment faire, mais je suppose qu’il doit être possible d’installer juste un fichier .deb dans un conteneur et de lancer un apt dist-upgrade (après avoir lancé la même chose sur la machine hôte bien sûr, pour ne pas faire les mises à jour deux fois, dans le conteneur puis sur le système hôte). Le problème aussi, c’est que je voudrais pouvoir jouer à mes jeux vidéo sur Steam, et là je ne sais pas trop comment intégrer des applications dans mon environnement X ou Wayland.
  • Est-ce que Flatpak serait une solution ? Qu’est-ce que ça apporterait en termes d’isolation du reste de l’environnement ?
  • Carrément mettre tous ces logiciels dans une machine virtuelle ?
  • [edit :] Quid de Snap ?

La facilité de mise en œuvre et de maintenance est également un critère à long terme.
Quelle solution auriez-vous adoptée dans mon cas ?

Remarque : Avant d’avoir cette suggestion, si j’avais décidé d’être complètement parano j’aurais fait un wipe du disque dur et tout réinstallé sur une machine clean (et encore). J’ai décidé qu’il n’y a pas de danger jusqu’à présent et donc de ne pas aller jusque là :slight_smile:

#2

chroot ? chroot [Wiki ubuntu-fr]

1 J'aime
#3

Solution intermédiaire potentielle : dans un conteneur LXC ?

Mais en gros noob que je suis (noob depuis longtemps maintenant, d’ailleurs) j’ai jamais compris si on pouvait lancer une session graphique dans un LXC ni si ça surchargeait beaucoup la machine…
(par contre je sais qu’un conteneur sans interface graphique est assez léger)

#4

Tu peux te passer de spotify, il suffit d’utiliser ton navigateur avec open.spotify.com et pas besoin du client dédié.

Pour Steam, il n’y a pas besoin d’autre chose que les repo Debian désormais.

Ça te fait déjà 4 de moins (avec spotify.save).

Après utiliser une ou plusieurs VM dédiées pourrait être une solution.