我正在尝试创建一个儿童帐户。
我想创建一个用户帐户,默认情况下限制所有应用程序,除了特定列表的应用程序,即 Firefox、Yo Frankie、Numpty Physics 等。此外,我想让他们的整个帐户都不可写,但如果应用程序允许他们创建文档,他们可以写入。当然,如果他们被允许运行的应用程序需要写入日志,那么也需要启用此功能。预期的结果是他们将无法右键单击桌面并创建目录或文档。他们可能能够下载可执行文件,但不能执行它。
我怎样才能做到这一点?
答案1
AppArmor 目前似乎更为常见,但您需要深入挖掘才能找到有关为用户配置它的信息(大多数教程仅提到程序配置文件,而不是用户配置文件)。AppArmor 文档有详细信息,特别是语言快速入门和概要语言参考。
您需要进行大量的测试和调整才能达到所需的限制级别。许多必需的权限并不是立即显而易见的。例如,Mozilla 会希望在某处记录浏览器历史记录,并且许多程序会将文件放在 /tmp 层次结构中。从命令提示符运行应用程序通常会产生有用的调试输出,并且该strace命令也会有所帮助。