分離のために、Openbox で Xephyr を介して Firefox を実行します。Firejail プロファイルでは、net enp2a1ネットワーク名前空間を介してネットワークを分離するように設定しました。ただし、通常のユーザーがオプションを使用してネットワーク ルールを上書きできるのは気に入りません--netfilter=file。
ユーザーの権限を制限する方法はありますか?(ルートを除く)netfilter-default /etc/iptables.iptables.rulesネットワーク フィルター ルールを変更するにはどうすればよいでしょうか。たとえば、のオプションの値firejail.configが使用されますが、これは将来誰も上書きできません。また、firejail.config ファイルは root ユーザーのみが変更できます。
Aはrestricted-network yes私には合わない。ネットワーク分離が機能しないからだ。(net enp2a1など)