我想使用加密的主目录 (Ubuntu) 运行 Chrome,但我想确保没有任何内容泄漏到加密目录之外,例如 /tmp。我怎样才能做到这一点?服装?在 docker 中运行 GUI 应用程序?最好不是虚拟机。我如何才能验证它是否正常工作?
答案1
如果将 /tmp 挂载为 tmpfs,它将完全存在于内存中,不会接触磁盘。这还有减少延迟和提高速度或访问的好处。如果你不能做到这一点,那么是的,正如你所说,AppArmor 或类似的东西可能是最好的选择。它还将有助于更好地保护您免受受损浏览器的侵害。
一个简单的测试来看看它是否有效,方法是放入file:///tmp/多功能栏并查看它是否加载,然后检查dmesgAppArmor 是否拒绝访问。如果您的发行版的 AppArmor 策略默认情况下不阻止访问 /tmp,您可以通过运行以下命令来覆盖该行为:
# echo "deny /tmp/ w," >> /etc/apparmor.d/local/usr.bin.chrome
# echo "deny /tmp/** w," >> /etc/apparmor.d/local/usr.bin.chrome
然后重新启动 AppArmor ( /etc/init.d/apparmor reload) 并重新启动浏览器。确保路径正确且位于apparmor.d/local路径中,否则下次更新时将被覆盖。您可能会发现这些资源很有用:
http://wiki.apparmor.net/index.php/QuickProfileLanguage
http://wiki.apparmor.net/index.php/AppArmor_Core_Policy_Reference