如何禁用--noprofileFirejail 中的该选项?例如,是否可以禁用此选项,以便firejail.config没有人可以使用它。
答案1
Firejail 确实包含一种限制用户会话的方法,但它对于您想要做的事情来说可能太粗略了。
打开文件/etc/firejail/login.users并为每个用户指定沙箱选项,例如:
username: --noprofile --private-tmp --private-dev --caps.drop=all --seccomp=!chroot
然后将用户 shell 更改为/usr/bin/firejailin /etc/passwd。这样,整个用户会话就在同一个 Firejail 沙箱中运行。请注意,您通常无法在该会话中运行 sudo 和朋友,因此请小心不要将自己锁定在外面。
原始文档请参见man firejail-登录。
如果一刀切的沙箱不是您所需要的,最好检查一下适当的强制访问控制 (MAC) 系统,例如 AppArmor、SELinux 或 Tomoyo。