Принцип работы

Разберём идею на примере популярного приложения Obsidian. Несмотря на его широкую известность, Obsidian отсутствует в большинстве официальных репозиториев, вне зависимости от семейства дистрибутивов. Официально для общесистемной установки разработчик распространяет его только через свой сайт в виде .deb-пакета и еще нескольких вариантов поставки. Это означает, что пользователям дистрибутивов, отличных от Debian/Ubuntu, приходится либо вручную работать с архивом, либо искать сторонние (и не всегда актуальные) сборки. Ситуация осложняется тем, что без своевременных обновлений можно столкнуться с проблемами совместимости или отсутствием новых функций.

Stapler решает эту проблему, всегда предоставляя самую свежую версию приложения. Пользователю, например, в Альте, достаточно выполнить команду stplr in obsidian. Stapler автоматически найдёт официальный исходный архив, проверит целостность, подготовит из него нативный пакет для вашего дистрибутива и установит его. Когда выходит новая версия Obsidian, достаточно выполнить stplr up, и инструмент самостоятельно загрузит обновление, обновит установочный сценарий и установит новую версию. Все операции выполняются локально, в вашей системе. Это удобно: пользователям больше не нужно запоминать "магические" команды, скачивать пакеты вручную или изучать документацию по alien и подобным утилитам.

Как организованы пользовательские репозитории программного обеспечения

Одним из первых хранилищ пользовательских репозиториев стал проект для операционных систем семейства Альт — Aides. Проекту меньше года, но за это время вокруг него сформировалась обширная экосистема сервисов, которые мы с вами и рассмотрим.

Первое, на что хочется обратить внимание, — это полноценный портал приложений, синхронизированный с репозиторием. На ресурсе можно посмотреть последние обновления, список приложений с детальной информацией, список сопровождающих, а также запросить добавление нового пакета.

Не менее интересна организация самого репозитория. Он базируется на платформе для совместной работы с исходным кодом ALT Linux Space, которая содержит в себе множество автоматизированных решений. Проект aides-web основан на GO, распространяется под лицензией GNU AGPLv3 и может быть взят за основу любым пользовательским репозиторием.

На самом деле штука в своём роде уникальная — автоматизированный конвейер сопровождения инструкций. Всё начинается с запроса на добавление пакета и назначения сопровождающего и заканчивается автоматизированным сценарием публикации инструкции в репозиторий. Система также автоматически проверяет возможность пересборки для веток sisyphus и p11, чтобы гарантировать системную совместимость, и при необходимости позволяет выполнить пересборку. С точки зрения участника, решившего добавить несколько инструкций, это полностью автоматическая работа без ручного модерирования. А пользователь получает почти стопроцентную гарантию того, что после обновления приложение запустится.

Начиная с версии v0.0.30, появляется ещё одна важная возможность: управление своим набором приложений через Центр приложений GNOME. Был реализован плагин для gnome-software, который позволяет находить, просматривать, устанавливать, удалять и обновлять приложения, установленные через stplr. Благодаря этому плагину можно централизованно производить обновление приложений — механизм встроен в стандартный сценарий обновлений (на вкладке "Обновления"). Возможно обновить как все приложения одной кнопкой, так и конкретное приложение. В разделе "Репозитории ПО" отображается полный список пользовательских репозиториев, и, что особенно приятно, счётчик приложений работает!

Сейчас сообщество обсуждает разработку генератора appstream-data, который позволит предоставлять полную информацию о приложении аналогично в общесистемных или Flatpak-пакетах в едином формате. На данный момент введено агрегирующее поле — идентификатор приложения, которое связывает существующие поля. После завершения работы над генератором мы получим все возможные метаданные: скриншоты, лицензии, подробное описание и многое другое. В планах также разработать аналогичный плагин для Центра приложений окружения KDE Plasma.

В итоге мы получаем очень интересную концепцию — экосистему, вобравшую в себя лучшее из AUR и Flatpak. Очень хочется посмотреть, что получится у участников сообщества через несколько лет.

А как пользоваться stplr к примеру на Альте?

Для использования `stplr` в семейсте операционных систем Альт необходимо убедится что утилита установлена.

rpm -q stplr

при отсутствии утилиты в системе установите утилиту:

su -
apt-get update
apt-get install stplr

Для работы необходимо подключить как минимум один репозиторий. Подключим репозиторий aides:

stplr repo add aides https://altlinux.space/aides-community/aides.git

Stapler имеет простой интерфейс командной строки. Вот несколько базовых команд, которые помогут вам начать.

Установить пакет

Установим пакет из удалённого репозитория инструкций Stapler или системного менеджера пакетов:

stplr install obsidian

Удалить пакет

Удалить установленный пакет через системный менеджер пакетов:

stplr remove obsidian

Обновить пакеты

Обновляет все установленные пакеты до последних версий из репозиториев Stapler:

stplr upgrade

Списки пакетов

Показывает все установленные пакеты из репозитория Stapler:

stplr list --installed

Показывает пакеты требующие обновления из репозитория Stapler:

stplr list --upgradable

Информация о пакете

Отобразить информацию о пакете:

stplr info yandex-browser-stable

Хочется обратить внимание, насколько удобен терминальный интерфейс с точки зрения использования. Всё продумано до мелочей: например, локализация терминального интерфейса — всё на русском языке. Важная мелочь, формирующая пользовательский опыт.

Как устроена сборка: Staplerfiles, рецепты и магия Go

В основе Stapler лежит понятие Staplerfile — файл-рецепт, очень похожий на знакомый пользователям Arch Linux PKGBUILD из AUR . Однако ключевое отличие в том, что Staplerfile не привязан к одному дистрибутиву. Это bash-скрипт с декларативной частью, который описывает, где взять исходный код программы, как его собрать и куда установить файлы, чтобы в итоге получился нативный пакет — будь то .deb, .rpm, .pkg.tar.zst для Arch или даже .apk для Alpine Linux .

Сам процесс сборки в Stapler — это выполнение строго определённых функций внутри этого рецепта . Всё начинается с функции prepare(), где можно распаковать архивы или применить патчи к исходникам в директории $srcdir. Затем идёт функция build(), где запускаются компиляторы или системы сборки вроде make. Финальный аккорд — функция package(), в которой сопровождающий рецепта копирует готовые бинарные файлы, библиотеки и конфиги в специальную директорию $pkgdir, структура которой точно повторяет корневую файловую систему Linux. Именно содержимое $pkgdir впоследствии и ляжет в основу готового пакета .

Что особенно интересно — это гибкость. Stapler понимает, что в разных дистрибутивах одни и те же зависимости могут называться по-разному. Поэтому в Staplerfile можно делать переопределения для конкретных ОС и даже их версий . Например, можно указать общий массив deps, а для Arch Linux — массив deps_arch, и инструмент сам выберет нужный во время сборки. Это позволяет поддерживать огромное количество систем с помощью единственного рецепта.

Еще одно отличие Staplerfile в сборке — присутствие функции files(). Она перечисляет все файлы, входящие в пакет, что необходимо для корректного удаления в RPM. RPM ведёт базу данных установленных файлов, и если пакет не сообщит менеджеру полный список своих файлов, при удалении в системе останутся «осиротевшие» файлы. Для удобства существуют вспомогательные функции files-find-lang, files-find-doc, files-find-binary, files-find-license, которые автоматически находят типовые группы файлов (документацию, локализацию, бинарники, лицензии) и добавляют их в список. Благодаря этому сопровождающий избавляется от ручного перечисления каждого файла, а пакет получается полным и корректным с точки зрения общесистемного менеджера пакетов.

Активно развивается и сам механизм работы с исходными архивами. В последних версиях реализована поддержка новых форматов архивов (от .rpm и .deb до .iso и .zstd) за счёт замены библиотеки. Теперь файлы многих форматов автоматически распаковываются при скачивании, что упрощает подготовку исходников и избавляет сопровождающих от лишних действий в функциях prepare() и package().

Сам Stapler написан на Go, что делает его легковесным и простым в развёртывании — он не тянет за собой горы зависимостей, работая «поверх» любого пакетного менеджера.

Итоги

В качестве итога можно сказать, что за развитием этого проекта очень сложно угнаться — он развивается настолько стремительно, что его трудно успеть обозреть. На текущий момент stplr доступен в двух репозиториях Сизиф и Роса 13, существует два пользовательских репозитория Aides и NeonXP

Если остались вопросы по самому инструменту или пользовательскому сообществу, их можно обсудить в социальных сетях:

• Cообщество Stapler в Телеграм
• Сообщество пользовательского репозитория Aides в Телеграм

В ближайшее время будет включён в состав операционных систем Альт Рабочая станция и Альт Рабочая станция K. Уверен, что большое сообщество станет очередной вехой в развитии такого замечательного инструмента.

И важно высказать своё мнение: лично для меня stplr не альтернатива с точки зрения способа доставки приложений конечному пользователю, в моём мире транспортом может быть только единый доверенный репозиторий самой операционной системы. Так как я пользуюсь операционной системой Альт, для меня это Сизиф. Это небольшое дополнение, которое создаёт множество проектов свободного программного обеспечения, вовлекает новых участников и, главное, размышляет над инфраструктурными задачами. Поэтому я не смог пройти мимо и не поделиться своим отзывом.

Отдельное спасибо Роману Меркушину — автору идеи конкурса и сопровождающему проекта ALT Atomic Kyanite. Именно он любезно предоставил призы для розыгрыша.

Всё это железо совсем скоро отправится к самым активным участникам конкурса от ALT Atomic. Смотрите, что мы подготовили для тех, кто делает атомарность доступнее.

Итак, призы...

Всё это железо не новое, но в отличном рабочем состоянии — оно верой и правдой служило участнику проекта ALT Atomic, мы его проверили и подготовили к отправке новым владельцам. 🤝

Сердце мощной станции — AMD Ryzen 9 5950X. 16 ядер, 32 потока: для компиляции, виртуализации и самых смелых экспериментов.

Экономичный воин — AMD Ryzen 5 PRO 3400GE. Для энергоэффективных решений и встраиваемых систем.

Быстрая память — G.Skill Trident Z RGB 16 ГБ (DDR4‑3200) x 4 шт. Чтобы проекты летали, а подсветка радовала глаз.

Инструмент лидера — механическая клавиатура Vortexgear Tab90M. Компактная, надёжная, с легендарными переключателями — писать код на ней одно удовольствие.

Энергия без компромиссов — be quiet! Dark Power Pro. Эталон тишины и стабильности для любой сборки.

Графика для любых задач — GeForce GTX 1650. И для рабочего стола, и для лёгкого гейминга.

Охлаждение с характером — Noctua NH-U12S chromax.black. Легендарная эффективность в строгом чёрном дизайне.

Стильный и компактный корпус— продуманная вентиляция, качественные материалы и лаконичный белый дизайн Jonsbo N2 White — то, что нужно для NAS или домашнего сервера.

Всё это железо ищет хозяина. Успей присоединиться!

Всё решится на стриме с Владимиром Романовым и Дмитрием Удаловым. Но чтобы претендовать на призы, нужно успеть выполнить задачу из трекера.

Мы решили дать вам побольше времени — чтобы никто не мог сказать «я не успел»: задачи можно выполнять вплоть до 28 февраля 2026 года включительно. А долгожданный итоговый стрим с розыгрышем призов состоится 1 марта 2026 года.

Выбирайте направление, дерзайте — и пусть удача улыбнётся самым активным! Вместе мы сделаем ALT Atomic ещё лучше!

Организаторами выступают компания «Базальт СПО» и Институт программных систем имени А.К. Айламазяна РАН, на базе которого и пройдёт мероприятие.

Традиционно участники сообщества ALT Gnome посещают данное мероприятие, отличное место для новых смелых идей и встречи добрых друзей.

Ключевая цель и аудитория

Главная задача конференции — живое общение и обмен опытом. Одна из традиционных площадок для первых шагов будущих разработчиков, обсуждения новинок, практик внедрения и совместных проектов.

Приглашаются не только представители вузов, но и все, кто использует или разрабатывает свободное ПО в любых формах образования: от школ и колледжей до курсов и кружков.

Одна из первых конференций, которую централизованно посетило сообщество ALT Gnome, подарила незабываемые эмоции. Мы показали, какие системы нравятся студентам и выступили с первым докладом про статические сайты.

Именно на этой конференции зародилась традиция готовить мерч от сообщества — за годы участники обрели ответственность и дисциплину. Как правило, мерчём занимаются Семён Фомченков, Павел Субач, а на последних конференциях к ним присоединилась Виктория Забачёва.

Хотя, если я не ошибаюсь, Виктория Забачёва участвовала в XIX конференции заочно: она подготовила обои от сообщества, которые на текущий момент размещены в репозитории «Сизиф» и в образе ALT Mobile, основанном на ветке sisyphus.

О чём будут говорить: темы докладов

Программа конференции сфокусирована из нескольких направлениях:

• Использование СПО и открытого аппаратного обеспечения в учёбе: методики преподавания, разработка и внедрение учебных курсов.
• Научные проекты: исследования и разработки, основанные на свободном ПО.
• Внедрение СПО в инфраструктуру: практические решения и преодоление проблем в образовательных организациях.
• Социальные и правовые аспекты: экономика, лицензии и правовые модели использования СПО.
• Студенческие проекты: лучшие практики и результаты работ обучающихся.

Важное требование: доклады принимаются исключительно по тематике свободного ПО. Рекламные и коммерческие презентации, а также обсуждение проприетарного софта запрещены. Если доклад связан с разработкой, в заявке обязательно должна быть ссылка на открытый репозиторий с кодом.

📚 Открытость и наследие конференции

Дух открытости отражается и в доступности материалов:

• Видеозаписи всех докладов и презентации будут опубликованы на 0x1.tv.
• Сборник тезисов будет издан и проиндексирован в национальной базе РИНЦ, что важно для научного сообщества.

Почему это событие важно?

Конференция — не просто ежегодный форум, а нечто более значимое:

• Мост между образованием и индустрией: площадка, где преподаватели узнают о реальных инструментах, а разработчики — о потребностях учебного процесса.
• Старт для студентов: специальный трек для студенческих проектов даёт возможность заявить о себе и найти единомышленников.
• Вклад в технологический суверенитет: обсуждение отечественных дистрибутивов на базе Linux (таких как дистрибутивы семейства «Альт») и их применение в образование как никогда актуально.

Напоследок хочется поделиться: Переславль-Залесский — отличный город для туризма, с уникальной атмосферой, особенно в кругу друзей и единомышленников. Очень круто, что на конференцию едет Тохыч, а значит, поговорим о технологиях и обязательно выпьем чашку вкусного кофе.

Конференция полностью бесплатна для всех участников, что является ее важной традицией. Слушатели, которые добираются самостоятельно, могут зарегистрироваться до 3 февраля 2026 года.

Ждём всех заинтересованных в Переславле-Залесском 6–8 февраля 2026 года для живого диалога о будущем свободных технологий в образовании!

Принято считать, что в Linux запуск приложений от непривилегированного пользователя уже сам по себе даёт приемлемый уровень безопасности. На практике этого давно недостаточно. Современные пользовательские программы — прежде всего браузеры и мессенджеры — обрабатывают сложные, часто недоверенные данные и регулярно становятся источниками уязвимостей.

Даже если приложение не имеет root-доступа, при должной сноровке оно получает полный доступ к данным пользователя: домашнему каталогу, SSH-ключам, конфигурациям, токенам браузера. Для большинства атак этого более чем достаточно.

Отсюда возникает идея sandbox-подхода: запускать потенциально опасные приложения в ограниченной среде, где их возможности строго контролируются. Firejail — один из самых простых и практичных инструментов для реализации этого подхода в Linux.

Что такое Firejail и какую проблему он решает

Firejail — это утилита для изоляции отдельных приложений в пользовательском пространстве Linux. Она запускает программу в песочнице (sandbox), ограничивая её доступ к файловой системе, сети, системным вызовам и привилегиям ядра.

Важно сразу обозначить границы. Firejail это:

• не виртуальная машина;
• не контейнер в стиле Docker или LXC;
• не система обязательного контроля доступа уровня SELinux.

Ее основная задача — быстро и без создания сложной инфраструктуры уменьшить ущерб в случае компрометации конкретного приложения.

Типичный сценарий — запуск браузера, который в случае эксплуатации уязвимости не сможет читать ~/.ssh, записывать файлы в любое место домашнего каталога или обращаться к произвольным системным ресурсам.

Как Firejail работает под капотом

Firejail использует стандартные механизмы изоляции, встроенные в ядро Linux.

Основа изоляции — namespaces (пространства имён). Когда вы запускаете приложение через Firejail, оно получает собственное изолированное представление о системе. Например, в namespace процессов (PID) Firefox будет видеть только себя и свои дочерние процессы, а не все процессы в системе. Mount namespace позволяет создать отдельное дерево монтирования — именно здесь Firejail использует tmpfs и bind-монтирование для изоляции файловой системы. Network namespace даёт изолированный сетевой стек.

Seccomp-BPF отвечает за фильтрацию системных вызовов. Каждое обращение приложения к ядру проверяется: если вызов разрешён профилем — он выполняется, если нет — процесс завершается. Это позволяет заблокировать потенциально опасные операции, вроде загрузки модулей ядра или создания устройств, оставив только те вызовы, которые действительно нужны для работы.

Capabilities дополнительно ограничивают возможности процесса. Даже непривилегированные приложения обладают определёнными capabilities — например, возможностью изменять приоритет своих задач или устанавливать соединения. Firejail может убрать эти привилегии, сделав процесс ещё более ограниченным.

Изоляция файловой системы строится внутри mount namespace. Firejail создаёт временную файловую систему (tmpfs) поверх домашнего каталога, затем выборочно пробрасывает в неё только разрешённые директории через bind-монтирование. В результате приложение физически не видит ~/.ssh или другие приватные данные — в его окружении их просто не существует.

Механизмы whitelist и blacklist позволяют точно контролировать доступ: можно разрешить только конкретные каталоги (более безопасный подход) или запретить отдельные директории, оставив доступ ко всему остальному (более удобный вариант).

Практические примеры использования

Первые шаги

Первым делом необходимо поставить Firejail, если он не был установлен ранее.

su -
apt-get install firejail
exit

Лучше всего начать с простого эксперимента — запустить стандартную оболочку в песочнице без применения готовых профилей.

firejail --noprofile bash

Вы окажетесь в новом окружении, но уже изолированном. Попробуйте выполнить несколько команд:

ps aux
ls ~

По умолчанию изоляция минимальная. Видно, что в этой оболочке не доступны процессы основной системы благодаря PID namespace: приложение получает собственное дерево процессов, начинающееся с PID 1.

Далее попробуем полностью отключить сеть. Для этого можно воспользоваться опцией --net=none:

curl google.com # работает
firejail --noprofile --net=none bash
curl google.com # не сработает

Сетевой интерфейс внутри песочницы есть (обычно только loopback), но доступа к внешней сети нет. Это полезно для работы с недоверенными файлами или приложениями, которым сеть не нужна.

Теперь попробуем ограничить файловую систему. Выполним:

firejail --noprofile --private bash
ls ~
echo "test" > ~/file.txt
cat ~/file.txt
exit
cat ~/file.txt

Опция --private создаёт временный tmpfs, который уничтожается после завершения процесса. Реальный домашний каталог остаётся нетронутым.

Далее попробуем разрешить только каталог Загрузки:

firejail --noprofile --whitelist=~/Загрузки bash
ls ~
ls ~/.ssh

Указание директорий через whitelist — наиболее безопасный подход. Приложение видит только явно разрешённые каталоги. Всё остальное физически недоступно.

Ещё можно использовать --blacklist :

firejail --noprofile --blacklist=~/.ssh bash
ls ~/.ssh
ls ~

Blacklist удобнее, когда нужно скрыть несколько критичных директорий, оставив доступ к остальным.

Опции можно комбинировать:

firejail --noprofile \
  --private \
  --net=none \
  --whitelist=~/Загрузки \
  --seccomp \
  bash ./untrusted_script.sh

Для браузера команда может выглядеть примерно так:

firejail --noprofile \
  --whitelist=~/Загрузки \
  --blacklist=~/.ssh \
  firefox  

Это работает, но каждый раз набирать несколько команд неудобно. Тут на помощь приходят профили.

Создание собственных профилей

Вместо того чтобы каждый раз указывать все опции, можно создать профиль — файл конфигурации с нужными настройками.

mkdir -p ~/.config/firejail
mcedit ~/.config/firejail/secure-shell.profile

Содержимое профиля:

private
blacklist ~/.ssh
net none
seccomp

И запуск с указанием этого профиля будет аналогичным использованию этих опций в CLI:

firejail --profile=~/.config/firejail/secure-shell.profile bash

Написать свой Firejail-профиль — непростая задача, особенно для сложных графических приложений, но есть способы облегчить ее:

Можно скопировать /usr/share/doc/firejail/profile.templateи измененить его.

Также можно сгенерировать файл профиля автоматически с использованием firejail --build. Подробнее о написании своих профилей можно узнать в документации.

Использование готовых профилей

Один из главных плюсов Firejail перед аналогичными инструментами — наличие готовых профилей для сотен популярных приложений. Профили находятся в /etc/firejail/ и покрывают браузеры, мессенджеры, медиаплееры, офисные пакеты, торрент-клиенты, IDE и многое другое.

Рассмотрим пример:

firejail chromium

Эта команда использует /etc/firejail/chromium.profile, который уже содержит настройки, проверенные разработчиками Firejail: разрешённые каталоги, необходимые системные вызовы, доступ к GPU и звуку.

Можно переопределить отдельные настройки профиля:

firejail --net=none chromium # отключить сеть поверх профиля

Помимо этого, стандартные профили включают импортирование локальных переопределений из ~/.config/firejail/<profile-name>.local. Это позволяет на уровне пользователя сохранить переопределения профиля.

GUI для Firejail

Существует несколько графических оболочек, упрощающих использование Firejail для менее технически продвинутых пользователей.

firetools

Представляет собой набор различных функций, таких как лаунчер приложений в песочнице, мониторинг, настройку песочницы и др.

firejail-ui

Одна из частей firejail-tools, позволяет через GUI настроить песочницу и запустить программу.

tuner-firejail (в разработке)

Началась разработка плагина для «Тюнера» для управления Firejail-профилями.

На данный момент плагин локально модифицирует профили и позволяет:

• включать и отключать опции, описанные в специальном формате fjopts;
• открывать локальный профиль для ручного редактирования;
• сбрасывать локальные изменения профиля.

Преимущества Firejail перед другими популярными инструментами

Firejail и Flatpak / Snap

Flatpak и Snap обеспечивают изоляцию за счёт собственной инфраструктуры упаковки и запуска приложений. Программа должна быть специально подготовлена для работы в этой среде, а уровень доступа к ресурсам определяется на уровне пакета и порталов. Firejail принципиально отличается тем, что работает с обычными исполняемыми файлами, установленными традиционным способом. Он позволяет изолировать приложение без его пересборки и без зависимости от конкретной экосистемы доставки.

Firejail и bubblewrap

bubblewrap — это низкоуровневая утилита, которая используется Flatpak в качестве одного из базовых механизмов изоляции. По сути, она предоставляет прямой доступ к Linux namespaces и mount-изоляции, не предлагая собственной модели конфигурации или готовых ограничений.

В отличие от Firejail, bubblewrap не имеет готовых профилей и не ориентирован на самостоятельное использование конечным пользователем. Каждый sandbox в нём собирается вручную: необходимо явно описывать файловую систему, точки монтирования и разрешённые ресурсы. Firejail использует те же механизмы ядра, но добавляет поверх них систему профилей и набор типовых ограничений, что делает его пригодным для регулярного запуска реальных пользовательских приложений.

Статья по сравнению Firejail и bubblewrap.

Firejail и системы MAC (AppArmor, SELinux)

AppArmor и SELinux предназначены для системного обязательного контроля доступа и требуют централизованного управления политиками. Они эффективны для защиты сервисов и демонов, но плохо подходят для изоляции произвольных пользовательских приложений. Firejail не меняет глобальную модель безопасности системы и применяется локально, в момент запуска процесса. За счёт этого он может использоваться без вовлечения администратора и без риска нарушить работу всей системы.

Firejail и контейнеры (Docker, Podman, LXC и т.д.)

Контейнеры обеспечивают более строгую изоляцию, но ориентированы прежде всего на серверные сценарии. Их использование для десктопных приложений связано с дополнительной сложностью и нарушением привычного пользовательского окружения. Firejail сохраняет интеграцию с графической средой, ограничивая при этом доступ приложения к данным и ресурсам. Для пользовательских программ это часто оказывается более разумным компромиссом, чем полноценная контейнеризация.

Ограничения Firejail

Стоит отметить, что Firejail имеет ряд ограничений, выявленных на практике при добавлении приложений в репозиторий Aides, когда они по умолчанию запускаются внутри песочницы Firejail.

В частности, существуют проблемы с открытием внешних ссылок из приложений, работающих в sandbox'е:

• https://github.com/netblue30/firejail/issues/6462

Для решения этой проблемы в приложениях для Aides был выбран такой хак:

env XDG_CURRENT_DESKTOP= 
env DE=flatpak

Это заставит xdg-open открывать ссылки с помощью xdg-desktop-portal.

Кроме того, атомарные (immutable) системы, такие как Fedora Silverblue и ALT Atomic, не поддерживаются Firejail:

• https://github.com/netblue30/firejail/issues/2798

Эти ограничения следует учитывать при использовании Firejail.

Насколько это реально повышает безопасность

Firejail эффективно снижает последствия эксплуатации уязвимостей в пользовательских приложениях, запуска вредоносного кода через документы или веб-контент и ошибок в стороннем ПО.

Однако он не защищает:

• от уязвимостей в самом ядре;
• от атак, уже работающих с правами пользователя;
• от утечек данных, которые разрешены профилем.

Firejail не является «серебряной пулей». Это дополнительный уровень защиты, который работает только в сочетании с обновлениями системы, здравым смыслом и базовой гигиеной безопасности. Firejail имеет как свои преимущества, так и недостатки.

Важно учитывать, что Firejail устанавливается как исполняемый файл с SUID, то есть на этапе настройки песочницы он выполняется с правами root. Это техническая необходимость: без привилегий невозможно корректно настроить пространства имён и ограничения доступа. После инициализации повышенные права сбрасываются, и само приложение работает уже в непривилегированном режиме.

Как и у любого SUID-компонента, у Firejail в прошлом находили уязвимости, включая локальное повышение привилегий. Эти проблемы исправлялись по мере обнаружения, но сам факт их существования означает, что использование Firejail — это осознанный компромисс: он снижает риски, связанные с уязвимыми пользовательскими приложениями, но требует доверия к самому Firejail и своевременных обновлений.

В реальных пользовательских сценариях этот компромисс обычно оправдан, однако Firejail не стоит рассматривать как инструмент для защиты от целенаправленной локальной атаки.

Выводы

Firejail — это простой и практичный способ сделать вашу Linux-систему немного безопаснее. Его главный плюс в том, что не нужно ничего перестраивать: установили, запустили приложение через Firejail — и оно уже работает в песочнице.

Особенно полезен Firejail для изоляции проприетарного ПО, исходный код которого нельзя проверить. Мессенджеры, которые могут производить сомнительные операции с вашими данными, недоверенные исполняемые файлы или закрытые клиенты сервисов — всё это разумно запускать в ограниченной среде. По крайней мере, даже если что-то пойдёт не так, доступ к вашим SSH-ключам или личным документам будет заблокирован.

Однако важно понимать: никакая песочница не спасёт от осознанного запуска вредоносного кода. Если вы сами скачали и запустили подозрительный скрипт или программу из непроверенного источника, Firejail лишь ограничит масштаб возможного ущерба, но не гарантирует полную защиту. Безопасность начинается с ваших собственных решений: не запускать что попало, проверять источники, обновлять систему, следовать базовым правилам цифровой гигиены.

Не стоит воспринимать Firejail как панацею. Это не волшебная защита от всех угроз, а дополнительная страховка. Он не спасёт от уязвимостей в ядре и не заменит здравый смысл. Да, сам Firejail, как SUID-программа, тоже имел уязвимости, но в реальности для обычного пользователя преимущества от изоляции непроверенного приложения перевешивают эти риски.

В итоге: Firejail не сделает вашу систему неуязвимой, но существенно ограничит последствия, если что-то всё-таки пойдёт не так. Главное помнить: ответственность за безопасность всегда лежит на вас самих, а Firejail лишь поможет минимизировать риски от ваших повседневных действий.

Проект GNOME выпустил первую альфа-версию своего рабочего окружения — GNOME 50. Релиз предназначен в первую очередь для информирования и тестирования разработчиками и энтузиастами перед официальным выпуском, который запланирован на март 2026 года.

Для тестирования доступен установочный образ GNOME OS, специального дистрибутива для разработки и оценки новейших функций GNOME. Важно отметить, что это нестабильное программное обеспечение, которое не предназначено для повседневного использования и может содержать ошибки.

Полный отказ от протокола X11

Ключевое изменение в этой версии — полный отказ от поддержки сеансов протокола X11 в компонентах Mutter (композитный менеджер), GDM (менеджер входа) и GNOME Shell (оболочка окружения) в пользу Wayland. Это не разрозненные правки, а согласованное архитектурное изменение.

На самом фундаментальном уровне, в композитном менеджере Mutter, была полностью удалена серверная часть (back-end) для X11. Это означает, что Mutter больше не может работать в качестве дисплейного сервера поверх X11. Поскольку GNOME Shell и все клиентские приложения полагаются на Mutter в управлении окнами и отрисовкой, это изменение автоматически делает всю оболочку зависимой от Wayland.

Вслед за этим, код поддержки X11 был исключён и из самой GNOME Shell. Оболочка больше не содержит логики для работы в X11-сессии, что окончательно разрывает эту цепочку.

Менеджер входа GDM претерпел, пожалуй, самые радикальные изменения. Из него не просто удалили поддержку X11 — теперь собрать GDM можно тольлко с Wayland. На практике это означает полное удаление таких зависимых от системного X-сервера функций, как протокол удалённого управления XDMCP (X Display Manager Control Protocol) и поддержка самого системного X-сервера. Теперь GDM может работать исключительно как современный менеджер дисплеев для Wayland.

Это изменение на уровне GDM делает бессмысленной поддержку X11 в менеджере сеансов gnome-session, так как ему попросту нечего будет запускать. Поэтому и в нём была прекращена поддержка выполнения сеансов на базе X11.

Ревизия кодовой базы распространилась и на вспомогательные компоненты. Демон настроек gnome-settings-daemon лишился возможности конфигурировать параметры, специфичные для X11, а также опции компиляции -Dx11. Аналогично, в GNOME Control Center (Настройки) был удалён весь бэкенд, отвечавший за настройки, актуальные только для X11-сессии.

✅ Что будет работать (как прежде или лучше)

• Любые X11-приложения: Весь софт, который не был портирован на Wayland (например, многие проприетарные программы), будет запускаться через слой совместимости XWayland. Для пользователя это будет выглядеть так же, как и раньше.
• Базовый рабочий стол: Все основные операции — управление окнами, запуск приложений, работа с буфером обмена, переключение между рабочими пространствами — будут осуществляться через Wayland.
• Работа с оборудованием: Поддержка современного оборудования (высокий DPI, несколько мониторов с разным масштабированием, сенсорные панели) через Wayland должна быть лучше, чем в X11.

❌ Что перестанет работать или изменится

• Выбор сессии X11 при входе: В меню менеджера входа GDM исчезнет пункт «GNOME on Xorg». Войти в систему можно будет только в сеанс «GNOME» (на Wayland).
• Удалённый доступ через X11-протоколы:
• Прямой запуск графических приложений с удалённого сервера через ssh -X перестанет работать.
• Будет удалена поддержка протокола XDMCP для удалённого управления экраном входа, что затронет некоторые корпоративные сценарии.
• Работа специализированных программ и утилит:
• Сломаются глобальные перехватчики клавиш и скринкастеры, которые работали путём прямого низкоуровневого доступа к X-серверу. Их современные аналоги должны использовать порталы xdg-desktop-portal.
• Некоторые старые расширения GNOME Shell, чья работа напрямую зависела от X11, могут перестать функционировать.
• Поддержка устаревших драйверов NVIDIA: Для работы в Wayland-сессии потребуются современные драйверы NVIDIA с поддержкой режима GBM. Пользователям устаревших версий драйверов придётся выполнить обновление.
• Совместный доступ к целому рабочему столу: Классический для X11 способ легко «расшарить» весь экран для совместной работы будет невозможен. В Wayland эта функция реализуется иначе, часто требуя поддержки на уровне каждого отдельного приложения.

Новая служба gnome-headless-session@<username>.service в GNOME 50 решает задачу запуска полноценного графического сеанса на серверах или компьютерах без подключённого физического монитора. Она автоматически создаёт и использует виртуальный дисплей DRM (Direct Rendering Manager), эмулируя присутствие монитора. Это позволяет среде GNOME, включая оболочку и все приложения, корректно инициализироваться и работать, как будто дисплей реально существует, что критически важно для настройки удалённого доступа через протоколы вроде RDP или VNC.

На практике это означает, что системному администратору или пользователю больше не нужно подключать «обманку» к видеовыходу или редактировать конфигурации X.org. Достаточно просто включить и запустить системную службу для конкретного пользователя (systemctl enable --now gnome-headless-session@username.service), после чего можно подключаться к полноценному рабочему столу удалённо. Это инфраструктурное улучшение значительно упрощает развёртывание и обслуживание рабочих станций или серверов с графическим интерфейсом в среде GNOME.

В совокупности эти изменения создают цельную картину: GNOME 50 представляет собой чистую, оптимизированную под Wayland-систему. Удаление десятков тысяч строк устаревшего кода снижает затраты на поддержку, уменьшает поверхность для потенциальных ошибок и позволяет разработчикам сосредоточиться на развитии возможностей современного стека отрисовки. Обратная совместимость для отдельных приложений при этом сохраняется через XWayland, но архитектурная привязка всей сессии к X11 ушла в прошлое.

Обновления в приложениях и библиотеках

В Календаре не появилось кардинально новых функций, но разработчики провели глубокую работу по оптимизации и улучшению качества приложения. Эти изменения делают работу с календарём более приятной, отзывчивой и стабильной.

Ключевым улучшением стала более плавная и отзывчивая анимация при переходе между видами (день, неделя, месяц) и при взаимодействии с элементами интерфейса. Это напрямую связано с повышением общей производительности — интерфейс теперь реагирует на действия пользователя быстрее, а прокрутка и отрисовка событий происходят без задержек.

Самая важная техническая работа велась «под капотом»: в коде приложения было устранено несколько десятков утечек памяти. На практике это означает, что календарь стал значительно стабильнее при длительном использовании (например, если он работает в фоне несколько дней или недель) и потребляет меньше оперативной памяти, что полезно для всей системы.

Экспорт календарей: Самая заметная новая возможность — вы можете экспортировать календарь в виде файла .ics для его передачи или использования в других приложениях. Это полезно для создания резервных копий или переноса расписания.

Полностью обновлённое диалоговое окно быстрого создания мероприятия (Quick Add popover): Этот диалог был полностью переработан. Теперь он состоит из одной страницы вместо двух, что ускоряет создание событий. Его стиль приведён в соответствие с современными стандартами GNOME.

Для многих пользователей Альта станет заметным нововведением появление в панели «Многозадачность» долгожданного переключателя «Повторно открыть окна после входа в систему». Теперь вы можете одной кнопкой включить или выключить функцию, которая автоматически запоминает все открытые на момент выключения компьютера приложения и восстанавливает их при следующем входе в систему. До этого сообществом ALT Gnome было представлено расширение Session Keeper, который реализует данную концепцию более полно — позволяет сохранять окна не только автоматически, но и в ручную, выбирать способа восстановления (при следующем запуске компьютера, при входе в систему или вручную) и даёт возможность исключить отдельные программы из сохранения и восстановления

Работа с аппаратным обеспечением тоже стала удобнее. Процесс калибровки цвета для вашего монитора был переработан и упрощён, что поможет добиться более точной цветопередачи без лишних сложностей. Кроме того, была переработана страница настройки клавиши альтернативных символов — её интерфейс стал понятнее и получил улучшенную поддержку перевода.

Разработчики не забыли и о доступности — в соответствующий раздел Настроек было добавлено несколько новых функций, призванных сделать систему комфортнее для всех пользователей.

В предстоящем выпуске GNOME 50 приложение «Часы» (GNOME Clocks) получило несколько практичных улучшений, которые делают его более гибким и удобным в ежедневном использовании. Главным нововведением стала возможность настраивать звук будильника. Теперь вы можете выбрать для пробуждения не только стандартный сигнал, но и другую, более приятную или личную мелодию.

Кроме того, разработчики доработали интерфейс раздела «Секундомер», сделав его более современным и интуитивно понятным. Эти изменения, наряду с другими обновлениями в системе, продолжают курс GNOME на повышение удобства и доступности стандартных приложений. Ожидается, что по мере приближения к финальному релизу в марте 2026 года функциональность может быть дополнена.

Небольшим дополнением к функционалу «Просмотрщика документов» стала возможность изменять примечания прямо из боковой панели, что делает работу с ними значительно быстрее и интуитивнее. Кроме того, чтобы пользователи случайно не потеряли важные пометки, теперь при удалении аннотации появляется временное всплывающее уведомление (toast notification), которое даёт возможность сразу отменить это действие.

Одним из ключевых улучшений в файловом менеджере GNOME стала возможность применять несколько фильтров по типу одновременно в рамках одного поискового запроса. Это изменение кардинально повышает гибкость и точность поиска.

Раньше, чтобы найти файлы нескольких разных форматов, часто приходилось несколько раз изменять один и тот же фильтр поиска или полагаться на ручную фильтрацию результатов. Теперь вы можете одним действием, например, отфильтровать содержимое папки, чтобы увидеть только изображения в форматах JPEG и PNG или документы PDF вместе с текстовыми файлами. Это точечное улучшение делает организацию и нахождение файлов в системе гораздо более эффективным и интуитивно понятным процессом.

«Веб-браузер» (также известный как Epiphany) получил несколько небольших, но полезных обновлений, направленных на улучшение удобства использования и безопасности.

В числе ключевых нововведений — новая опция, которая позволяет скрывать баннеры о согласии на использование файлов cookie (cookie banners) . Для настройки поиска был обновлён значок опций в строке поиска. Также разработчики внесли улучшения в код диалогового окна «Безопасность» (Security dialog), а кнопку режима чтения перенесли в меню сайта.

В приложении «Символы» (Characters) для GNOME 50 был проведён ряд технических улучшений и исправлений, обновлена база данных эмодзи и символов до стандарта Unicode 17.0 (включая новый блок CJK), исправлены ошибки в работе с Flatpak, IBus и масштабированием шрифтов, а также улучшена поддержка языковых псевдонимов и итерации по списку символов. Параллельно прошла модернизация интерфейса: приложение переведено на использование современных виджетов библиотеки Adwaita, таких как AdwShortcutsDialog для окна горячих клавиш и AdwSidebar для боковой панели. Завершают обновление косметические правки — обновлены скриншоты в описании приложения до актуального вида GNOME 49 и исправлена опечатка в метаданных.

Как отмечается в анонсах, в этой версии также было исправлено множество ошибок, что повысиилообщую стабильность работы приложения.

Помимо новых функций в приложениях, релиз GNOME 50 включает множество «невидимых» улучшений в библиотеках и системных компонентах, которые повышают стабильность, безопасность и удобство разработки.

Ключевые обновления коснулись графического стека: библиотека Glycin теперь поддерживает больше форматов изображений (XBM, XPM, SVGZ), а движок GtkSvg стал основным и более совершенным рендерером для векторной графики. На системном уровне происходят важные инфраструктурные сдвиги: компонент доступности at-spi2-core переведён на использование dbus-broker для повышения производительности, а в программе первоначальной настройки начат переход с pkexec на более безопасную альтернативу run0 от systemd.

И на последок хорошей новостью для пользователей NVIDIA станет повышение стабильности работы с видеокартами NVIDIA в среде Wayland. Разработчики активно работают над устранением проблем, связанных с приостановкой и возобновлением работы системы, что должно сделать взаимодействие с оборудованием NVIDIA более плавным и предсказуемым, особенно после выхода из спящего режима.

Эти изменения являются частью общей работы над надежностью системы. Они дополняются другими системными доработками, такими как тонкая настройка функций управления питанием, работа датчиков и поведение служб. Многие из этих улучшений реализуются на уровне дистрибутивов Linux (через обновления systemd или сетевых менеджеров) и соседних проектов, что в итоге создает более целостную и отзывчивую среду для пользователей.

Молчание — знак согласия

Так как вы не проявили негативных эмоций по поводу наших лонг-ридов, мы продложим их делать!

Пишите ваше мнение про отказ от X11, пользовались ли вы Xorg-сессией и нравятся ли вам нововведениях в GNOME и вокруг него!

Работа над релизом версии 11.2 всё ещё продолжается, однако большое количество изменений доступно уже сейчас: часть обновлений придёт пользователям Рабочей станции через обновление, другое — можно будет установить вручную после их появления в репозитории.

Сегодня поговорим о нововведениях этой версии и посмотрим на новшества в ряду первых!

GNOME 48 приходит в образ

Множество пользователей уже могли успеть обновиться до GNOME 48, так как он уже находится в репозитории, однако нам стоит рассказать про ключевые нововведения рабочего окружения.

Производительность и системные улучшения

Динамическая тройная буферизация в Mutter
Обеспечивает более плавную анимацию и меньше пропущенных кадров, особенно при внезапной нагрузке.

GTK
Проведена работа над ускорением создания и изменения размеров элементов интерфейса. Прекращена поддержка старых версий OpenGL (GLES 2 и GL < 3.3), тем самым сообщество разработчиков используют более современные и высокопроизводительные API.

Значительный прирост скорости в «Файлах» (Nautilus)
Обработка папок с большим количеством миниатюр ускорилась в 5 раз, а отрисовка при прокрутке — в 10 раз.

Оптимизации движка JavaScript (GJS)
Снижено потребление ЦП и памяти для общих операций. Данный стек используются для отрисовки рабочего окружения и элементов интерфейса.

HDR
Появилась поддержка HDR на системном уровне, поэтому если у вас есть HDR-дисплей, теперь можно отображать контент в HDR из приложений, которые его поддерживают. В настоящее время количество подобных приложений ограничено, однако работа по расширению поддержки HDR продолжается.

Интерфейс и пользовательский опыт

Группировка уведомлений
Уведомления от одного приложения теперь группируются в «стопки», которые можно развернуть.

Новые шрифты
Cantarell был заменён на новое семейство шрифтов Adwaita: Adwaita Sans для обычного начертания и Adwaita Mono для моноширинного.

Центрирование окон по умолчанию
Новые окна теперь открываются по центру экрана.

Глобальные сочетания клавиш
Теперь приложения могут запрашивать разрешение на создание системных горячих клавиш, что облегчит работу с утилитами для «быстрых действий» с клавиатуры.

Ключевые обновления приложений

Просмотрщик изображений (Loupe)
Добавлены минимальные инструменты редактирования: обрезка, поворот и отражение. Обновлены элементы управления масштабированием, добавлена экспериментальная поддержка RAW-форматов.

Текстовый редактор
Упрощенный интерфейс, улучшенные свойства документа и более удобный индикатор позиции курсора для программистов.

Календарь
Добавлена долгожданная поддержка указания часового пояса для событий.

Про приложения, пакеты и утилиты

ALT Panelmode

Обновился ALT Panelmode, предназначенный помочь пользователям вернуть привычный пользовательский опыт окружения MATE: при переключении в панельный режим, окнам добавляются кнопки «Свернуть» и «Развернуть», а при входе в систему не отображается экран «Обзор», а сразу открывается рабочее пространство с нижней панелью.

Обновление добавляет фоновый процесс (демона) для переключения между GNOME и Панельным режимом с учётом параметров GSettings. Также появились новые настройки для управления расширениями — при переключении между стилями, те расширения, которые были включены в текущем стиле системы, будут запомнены и восстановлены, когда пользователь переключится обратно.

Подробнее можно прочитать в «На этой неделе в Альт» #2

Центр приложений (GNOME Software)

Не остался без обновлений и Центр приложений, обновившись сразу до 49-й версии, где были проведены работы по значительной оптимизации производительности, направленные на общение с крупными репозиториями приложений. Не меньше изменений произошло в рамках репозитория Сизиф: плагин для работы с Flatpak-приложениями был выделен в подпакет gnome-software-plugin-flatpak в связи с явным уведомлением пользователя об отсутствии мета-информации в самом приложении, связанным с репозиториями Flatpak.

В новый образ был включён не только вышеупомянутый плагин, но и плагин для работы с обновлением встроенных прошивок оборудования gnome-software-plugin-fwupd.

Flatpak

Не уходя далеко от темы Flatpak: теперь данный вариант поставки приложений доступен из коробки с возможностью добавления репозитория Flathub на этапе установки или с использованием пакетного менеджера!

Также, из коробки поставляется пакет для маскирования кодека openh264 во Flatpak, недоступного для скачивания пользователям, находящимся на территории Российской Федерации, и блокирующего централизованное обновление приложений.

Контейнеризация из коробки

В этом релизе большое внимание уделено разработчикам: сразу после установки системы поддерживается создание контейнеров в режиме rootless и возможность их использования через графический или терминальный интерфейсы.

В образ добавлен эмулятор терминала Ptyxis с встроенной поддержкой переключения между средами контейнеров, графический интерфейс управления Podman-контейнерами «Капсулы» (Pods), и терминальный инструмент Distrobox для установки и запуска всевозможных приложений в любых операционных системах внутри контейнера.

Погода

Специально для Рабочей станции и других дистрибутивов семейства ОС «Альт» было разработано приложение «Погода» с поддержкой получения информации от Яндекс Погоды и Gismeteo. И теперь это приложение можно установить сразу с диска, чтобы всегда иметь актуальную информацию для вашего региона!

Stapler

Система сборки и управления пакетами для любых дистрибутивов, предназначенная для автоматизации установки приложений по заготовленному сценарию, а также репозиторий Аид, содержащий набор готовых инструкций от сообщества.

Stapler предлагает расширенный формат установки пакетов — он позволяет «загнать приложение в клетку», используя Firejail для автоматизированной установки приложений с изолированным запуском. Установка пакета происходит после проверки хеш-сумм исходных файлов, что обеспечивает проверку подлинности. Сценарии Stapler предоставляют гибкую систему описания сборочного процесса, в том числе отключение сетевого подключения после скачивания исходных файлов, что исключает обращение к внешним ресурсам.

Tuner GDM

Плагин Тюнера, позволяющий перенести настройки дисплея пользователя в GDM. GDM не определяет автоматически основной дисплей, параметры масштаба и
другое, однако благодаря этому небольшому плагину можно быстро «синхронизировать» актуальные настройки с GDM. По словам разработчиков, планируется развитие плагина до полноценного аналога приложения «Настройки GDM».

Command Not Found

Консольный помощник для операционных систем ОС «Альт», который подскажет нужный пакет, если введённая команда не была найдена.

Kooha

Утилита с для быстрой и удобной съёмки скринкастов и приятным интерфейсом, где можно выбирать формат записи, частоту кадров, режим записи звука.

Апостроф

Простой редактор Markdown-файлов с предпросмотром «на горячую» и минималистичным дизайном.

Вопрос в студию

В данном экспериментальном посте мы решили показать вам новый формат постов, и теперь хотим узнать ваше мнение — что вы думаете по поводу ОООчень длинных постов и хотели бы видеть подобные материалы почаще? Пишите в комментарии, и не забывайте подписываться на нас в Teletype!

Открываем терминал:

sudo apt-get install gnome-weather

Жмакаем по Y.

Выбираем свой город при первом запуске или включаем геолокацию

[oleg@shchavelev ~]$ sudo chfn -f "Олег Щавелев" oleg
chfn: имя «Олег Щавелев» содержит не ASCII-символы

Ответ «имя «Олег Щавелев» содержит не ASCII-символы», является уведомлением, мы изменили имя. Смотрим в настройках, красота.

Gnome Apps — приложения экосистемы Gnome, в двух изданиях: сore (основные), circle (дополнительные). Все приложения соответствуют «guide line» Gnome и как правила разработаны с использованием GTK 3/4.
официальный сайт

Gnome Extensions — каталог дополнительных расширений, написанные сторонними разработчиками, которые изменяют способ работы GNOME.
официальный сайт

GNOME Human Interface Guidelines — документация для разработчиков приложений экосистемы Gnome, разработчиков выпускающих дистрибутивы Linux с использованием среды Gnome
официальный сайт

Adwaita Icon Theme — репозиторий официальных иконок Adwaita c возможностью скачивания графических исходников.
официальный репозиторий

GNOME Mockups — графические концепты и «mockups» от разработчиков Gnome.
Официальный репозитории: App Mockups Settings Mockups Software Mockups Other App Mockups OS Mockups

Illustration Styles in GNOME — репозиторий официальных иллюстрации для особых состояний приложения, таких как пустые экраны, экраны приветствия и т.д.
официальный репозиторий

Данный список будет расшириться, если я пропустил какой-то ресурс напишите об нем в комментариях, возможно я его добавлю в свой путеводитель.

Давайте установим, вводим в терминал:

sudo apt-get install yandex-browser-stable

Жмакаем по Y (Да)

Или через пакетный менеджер epm, он должен быть установлен, ранее я рассказывал об этом замечательном пакете

epm play yandex-browser 

Жмакаем многократно Y (Да)

Яндекс Браузер, субъективно мой любимый браузер, тем более официально поддерживаемый ALT Linux Team, Yandex Team, служба поддержки Яндекса (в том ALT Regular Gnome)

Давайте установим, вводим в терминал:
sudo apt-get install yandex-browser-stable
—
Жмакаем по Y (Да)

Или через пакетный менеджер epm, он должен быть установлен, ранее я рассказывал об этом замечательном пакете (https://t.me/alt_gnome/15):
epm play yandex-browser
—
Жмакаем многократно Y (Да)

Есть flatpak-версия, она не официальная и служба поддержки Яндекса ответит: «Сейчас у Яндекс Браузера нет официальной flatpak-версии. За работу сторонних сборок отвечать мы не можем.»

На текущий момент в репозиториях находится версия «Яндекс Браузер для организаций». Я задал вопрос, по домашнему использованию данной версии: «В репозитории Alt Linux действительно лежит специальная сборка, поддерживающая корпоративные функции, например, управление при помощи групповых политик. Однако её можно использовать и на домашних компьютерах».

Не воспроизводится видео в Яндекс Браузере:

В первую очередь откройте терминал введите:

Sysphus:
yandex-browser-stable

Epm:
yandex-browser

Ответ в терминале:

Found ffmpeg: /usr/lib64/yandex/browser/libffmpeg.so
  avcodec: 3882340
  avformat: 3876196
  avutil: 3746916
Ffmpeg version is OK! Let's use it.

Если ответ иной, обратитесь за помощью:

Sysphus - https://browser.yandex.ru/feedback/
EPM - @useepm

Если в терминале вы получили ответ «Ffmpeg version is OK! Let's use it.» , а видео не воспроизводится, то в строке браузера вводим команду:
browser://flags/#external-media
—
и отключите опцию, выбрав «Disabled», в появившимся информере, подтверждаем перезагрузку Яндекс Браузера. Лично у меня была проблема в данной настройке. После выключения все видео начали воспроизводиться корректно.