Как отключить --noprofileопцию в Firejail? Например, можно ли отключить использование этой опции в firejail.configтак, чтобы никто не мог ею воспользоваться.
решение1
Firejail содержит способ ограничения сеансов пользователей, но он, вероятно, слишком груб для того, что вы хотите сделать.
Откройте файл /etc/firejail/login.usersи укажите параметры «песочницы» для каждого пользователя, например:
username: --noprofile --private-tmp --private-dev --caps.drop=all --seccomp=!chroot
Затем измените оболочку пользователя на /usr/bin/firejailin /etc/passwd. Таким образом, весь сеанс пользователя будет работать в одной и той же песочнице Firejail. Обратите внимание, что обычно вы не сможете запустить sudo и друзей в этом сеансе, поэтому будьте осторожны, чтобы не заблокировать себя.
Оригинальную документацию см.man firejail-login.
Если универсальная «песочница» вам не нужна, лучше присмотритесь к системам обязательного контроля доступа (MAC), таким как AppArmor, SELinux или Tomoyo.