¿Cómo puedo desactivar la --noprofileopción en Firejail? Por ejemplo, ¿es posible desactivar el uso de esta opción firejail.configpara que nadie pueda utilizarla?
Respuesta1
Firejail contiene una forma de restringir las sesiones de los usuarios, pero probablemente sea demasiado tosca para lo que quieres hacer.
Abra el archivo /etc/firejail/login.usersy especifique las opciones de la zona de pruebas para cada usuario, por ejemplo:
username: --noprofile --private-tmp --private-dev --caps.drop=all --seccomp=!chroot
Luego cambie el shell de usuario a /usr/bin/firejailin /etc/passwd. De esta manera, toda la sesión del usuario se ejecuta en el mismo entorno limitado de Firejail. Tenga en cuenta que normalmente no podrá ejecutar sudo y amigos en esa sesión, así que tenga cuidado de no bloquearse.
Para documentación original verhombre firejail-iniciar sesión.
Si lo que necesita no es una caja de arena única para todos, es mejor que consulte los sistemas de control de acceso obligatorio (MAC) adecuados, como AppArmor, SELinux o Tomoyo.