Zur Isolierung lasse ich Firefox über Xephyr mit Openbox laufen. Im Firejail-Profil habe ich die net enp2a1Isolierung des Netzwerks über Netzwerk-Namespaces eingestellt. Mir gefällt aber nicht, dass ein normaler Benutzer mit dieser Option Netzwerkregeln außer Kraft setzen kann --netfilter=file.
Gibt es eine Möglichkeit, die Möglichkeiten eines Benutzers einzuschränken?(außer root)um die Netzwerkfilterregeln zu ändern? Beispielsweise wird der Wert aus der netfilter-default /etc/iptables.iptables.rulesOption in firejail.configverwendet, den niemand in Zukunft überschreiben kann. Und die Datei firejail.config kann nur vom Root-Benutzer geändert werden.
A restricted-network yespasst mir nicht, weil dann die Netzwerkisolation nicht funktioniert( net enp2a1, usw.)