ha unprivileged lxc-ket használsz, ahhoz kell a systemd, azokat úgy indítod, hogy
systemd-run --user --scope -p "Delegate=yes" lxc-start ...
hajbinak ezek bloatware cuccok és a security sem fontos neki... én mindenhol unprivileged lxc-ket használok, kérik tőlem a konténert, tessék, itt van, root-od is van, hogy ne nyávogj, de attól ez egy másik level, ami a securityt illeti
de, desktopról lévén szó: én pl. a browsert is unprivileged konténerben futtatom a laptopon, de az összes "bloat" szoftvert is, mint skype, slack, etc.
de egyéb ötletek: a systemd service-ben megadod a PrivateNetwork=yes-t, akkor az app csak a lo interfészt fogja látni, ezzel konkrétan megtiltod neki, hogy netre menjen.
Vagy megadhatsz külön namespace-t neki, NetworkNamespacePath=... és akkor gyakorlatilag el tudod szigetelni pl. a host networkingjától...
Megint hajbi: neki ezek nem featureök, mert őt az ilyesmi nem érdekli... aki xp-hez van szokva, az nem érti nem akarja érteni ezeket ?