我想在我的 Linux 机器上运行一些专有软件,例如 Skype。但我不信任这个程序,我想阻止这个程序访问我的主目录中的某些文件夹。
我尝试使用不同的用户运行 Skype gksu,但它对我不起作用。我找到了更直接的方法来使其发挥作用。有某种机制可以做到这一点吗?
多谢。
答案1
Skype 确实可以在不同的用户下工作,但这需要:
- 更改 PulseAudio 设置以允许两个用户同时访问 PA 服务器:https://wiki.archlinux.org/index.php/PulseAudio/Examples#Allowing_multiple_users_to_use_PulseAudio_at_the_same_time
- 如果您有网络摄像头,则授予第二个用户访问视频设备的权限 - 这取决于您的发行版
让我们从以下事实开始:在 X.org 会话中运行的任何程序都可以随时访问所有其他窗口和鼠标/键盘输入,无论您如何运行它。这意味着要绝对安全,您必须使用不同的 X.org 实例运行可能存在错误的程序,例如Xorg :1或使用 Xephyr:https://wiki.archlinux.org/index.php/firejail#Firejail_with_Xephyr
Linux 中隔离应用程序的方法:
- 消防监狱
- 成熟的虚拟机,如 kvm、VirtualBox、VMWare Player(免费供个人使用)
- Snap/Flatpak/AppImage 都提供不同级别的隔离
可能还有更多。
最后,您可以在 Google Chrome 中运行 Skypehttps://web.skype.com/并且无需安装/运行任何应用程序。