Wie kann ich die Option in Firejail deaktivieren --noprofile? Ist es beispielsweise möglich, die Verwendung dieser Option zu deaktivieren, firejail.configsodass niemand sie verwenden kann?
Antwort1
Firejail bietet zwar eine Möglichkeit, Benutzersitzungen einzuschränken, diese ist für Ihre Zwecke jedoch wahrscheinlich zu grob.
Öffnen Sie die Datei /etc/firejail/login.usersund geben Sie die Sandbox-Optionen für jeden Benutzer an, zum Beispiel:
username: --noprofile --private-tmp --private-dev --caps.drop=all --seccomp=!chroot
Ändern Sie dann die Benutzershell in /usr/bin/firejailin /etc/passwd. Auf diese Weise läuft die gesamte Benutzersitzung in ein und derselben Firejail-Sandbox. Beachten Sie, dass Sie in dieser Sitzung normalerweise nicht in der Lage sind, sudo und ähnliche Programme auszuführen. Achten Sie also darauf, dass Sie sich nicht selbst aussperren.
Die Originaldokumentation finden Sie unterMann Firejail-Login.
Wenn eine Einheits-Sandbox nicht das ist, was Sie brauchen, sehen Sie sich besser entsprechende Mandatory Access Control (MAC)-Systeme wie AppArmor, SELinux oder Tomoyo an.