Como posso desabilitar a --noprofileopção no Firejail? Por exemplo, é possível desabilitar o uso desta opção firejail.configpara que ninguém possa utilizá-la.
Responder1
O Firejail contém uma maneira de restringir as sessões do usuário, mas provavelmente é muito grosseiro para o que você deseja fazer.
Abra o arquivo /etc/firejail/login.userse especifique as opções de sandbox para cada usuário, por exemplo:
username: --noprofile --private-tmp --private-dev --caps.drop=all --seccomp=!chroot
Em seguida, altere o shell do usuário para /usr/bin/firejailin /etc/passwd. Dessa forma, toda a sessão do usuário é executada em um mesmo sandbox Firejail. Observe que você normalmente não conseguirá executar sudo e amigos nessa sessão, portanto, tome cuidado para não se bloquear.
Para documentação original, consultehomem firejail-login.
Se uma sandbox de tamanho único não for o que você precisa, é melhor verificar os sistemas de controle de acesso obrigatório (MAC) adequados, como AppArmor, SELinux ou Tomoyo.