我的机器是家庭桌面(个人),运行 Debian Buster 和 i3 窗口管理器。我最近安装了firejail,apt install firejail* firetools并从Firefox官方网站下载了新的Firefox 83浏览器。我可以以非 firejail 用户身份运行 firefox 二进制文件,如下所示,导航到新的 firefox 目录并运行[user@debian]:$ ./firefox它工作正常。然而,如果我尝试这样做,firejail --noprofile --seccomp --private --nonewprivs /home/user/downloads/firefox/firefox它会说,the file firefox isn't executable.对可执行文件运行 ls -l 返回它是可执行的。然后我将整个新的 firefox 目录复制到 /tmp/ 然后使用 打开一个新的 firejail bash 会话firejail --seccomp --private --nonewprivs bash,然后启动一个沙盒 bash 会话。然后将 firefox 目录从 /tmp/ 复制到 $HOME 并尝试从那里运行 firefox 二进制文件,它说permission denied该文件是可执行的,并且由同一用户拥有。我在这里做错了什么。
答案1
firejail 文档指出:
使用 –private Firejail 选项以出厂默认浏览器配置和空主目录启动。
所以运行 firejail --private bash 之后 ls ~应该显示为空。你确定它当时说的是“火狐文件不可执行”吗?
我正在尝试做和你完全相同的事情。我可以看到的两个选项是:
- 修改/创建一个调用 不包含以下行
/etc/firejail/firefox-common.profile的修改的自定义:disable-exec.incnoexec ${HOME}
或者
- 将 firefox83 目录放入
/opt/并从那里运行它。
第一个选项会降低安全性,并且可能会被新安装的 Firefox 覆盖。
我选择了第二种选择。
如果有一种方法可以使目录免受稍后的 noexec 指令的影响,那将是理想的......有人吗?