如何停用--noprofileFirejail 中的該選項?例如,是否可以停用此選項,以便firejail.config沒有人可以使用它。
答案1
Firejail 確實包含一種限制使用者會話的方法,但它對於您想要做的事情來說可能太粗略了。
開啟檔案/etc/firejail/login.users並為每個使用者指定沙箱選項,例如:
username: --noprofile --private-tmp --private-dev --caps.drop=all --seccomp=!chroot
然後將使用者 shell 更改為/usr/bin/firejailin /etc/passwd。這樣,整個使用者會話就在同一個 Firejail 沙箱中運行。請注意,您通常無法在該會話中運行 sudo 和朋友,因此請小心不要將自己鎖定在外面。
原始文件請參見man firejail-登入。
如果一刀切的沙箱不是您所需要的,最好檢查一下適當的強制存取控制 (MAC) 系統,例如 AppArmor、SELinux 或 Tomoyo。