为了隔离,我通过 Xephyr 和 Openbox 运行 Firefox。在 Firejail 配置文件中,我设置net enp2a1通过网络命名空间隔离网络。但我不喜欢普通用户可以使用该--netfilter=file选项覆盖网络规则。
有没有办法限制任何用户的能力(根除外)更改网络过滤规则?例如,使用netfilter-default /etc/iptables.iptables.rulesin 选项中的值firejail.config,将来任何人都无法覆盖该值。并且 firejail.config 文件只能由 root 用户更改。
Arestricted-network yes不适合我,因为这样网络隔离就不起作用(net enp2a1, ETC。)