在 Firejail 中禁用 --noprofile

在 Firejail 中禁用 --noprofile

如何禁用--noprofileFirejail 中的该选项?例如,是否可以禁用此选项,以便firejail.config没有人可以使用它。

答案1

Firejail 确实包含一种限制用户会话的方法,但它对于您想要做的事情来说可能太粗略了。

打开文件/etc/firejail/login.users并为每个用户指定沙箱选项,例如:

username: --noprofile --private-tmp --private-dev --caps.drop=all --seccomp=!chroot 

然后将用户 shell 更改为/usr/bin/firejailin /etc/passwd。这样,整个用户会话就在同一个 Firejail 沙箱中运行。请注意,您通常无法在该会话中运行 sudo 和朋友,因此请小心不要将自己锁定在外面。

原始文档请参见man firejail-登录

如果一刀切的沙箱不是您所需要的,最好检查一下适当的强制访问控制 (MAC) 系统,例如 AppArmor、SELinux 或 Tomoyo。

相关内容