Firejail é um programa sandbox para namespaces Linux que pode prender o Firefox ou qualquer outro software GUI. Deve funcionar em qualquer computador Linux.
É possível usar o LXC em um sistema de desktop para confinar os navegadores e outros softwares que, no passado, mostraram-se propensos a certos tipos de explorações. Então, o que eu quero alcançar é para a cadeia, digamos, o Firefox, ainda ser capaz de ver suas janelas etc e ainda ter certeza de que só tem acesso de leitura e escrita a qualquer coisa "dentro da bolha", mas não ao sistema host.
O exemplo do contêiner lxc-sshd no LXC sugere que algo assim deveria ser possível (contêineres de nível de aplicativo), mas eu só vi isso para um programa que requer um TTY no máximo.
Isso funciona também no KDE, GNOME, Unity ...?
Firejail é um programa sandbox para namespaces Linux que pode prender o Firefox ou qualquer outro software GUI. Deve funcionar em qualquer computador Linux.
O gerenciador de área de trabalho que você está executando não importa; tudo o que importa é que você forneça ao contêiner o acesso ao soquete Xwindows, à variável de ambiente XAUTHORITY e ao arquivo para o qual aponta.
Não diretamente. Com tecnologias como LXC ou OpenVZ , as aplicações dentro deles estão essencialmente lá próprias caixas de Linux. Então, você precisará fazer isso "remotamente" usando ferramentas como X2go ou VNC para ver seus desktops remotos ou exibir remotamente aplicativos sendo executados dentro deles usando o X.
Existe este tutorial que discute como fazer isso usando Debian / Ubuntu, mas muitas das etapas devem ser traduzidas para outras distribuições também. O artigo é intitulado: Virtualização Debian: LXC Desktop Virtualization .