我正在尝试在 Ubuntu 18.04 上对 Skype/Spotify 等应用程序进行沙箱处理。两者都安装在 snap 下,这限制了它们对系统文件夹的访问(尽管 Skype 是使用“--classic”标志安装的,这似乎在某种程度上规避了此限制)。
为了限制回家,我目前看到以下可能性:
- 虚拟机
- 码头工人形象
- 同一台计算机上的“假”用户(将限制对主目录的访问,但不限制对系统文件夹的访问)
- (像 firejail 这样的沙盒工具似乎与 snap 冲突。)
VM 和额外用户需要通过“ssh -XY”进行访问。从这里可以通过以下方式调用应用程序:
XAUTHORITY=$HOME/.Xauthority /snap/bin/skype
我的问题是,最简单的解决方案(创建一个唯一目的是运行这些应用程序的新用户)是否足够安全。