為了隔離,我透過 Xephyr 和 Openbox 運行 Firefox。在 Firejail 設定檔中,我設定net enp2a1透過網路命名空間隔離網路。但我不喜歡普通用戶可以使用該--netfilter=file選項覆蓋網路規則。
有沒有辦法限制任何使用者的能力(根除外)更改網路過濾規則?例如,使用netfilter-default /etc/iptables.iptables.rulesin 選項中的值firejail.config,將來任何人都無法覆寫該值。且 firejail.config 檔案只能由 root 使用者更改。
Arestricted-network yes不適合我,因為這樣網路隔離就不起作用(net enp2a1, ETC。)