暗号化されたホームディレクトリ(Ubuntu)を使用してChromeを実行したいのですが、/ tmpなどの暗号化されたディレクトリの外部に漏れることがないことを確認したいと思います。どうすればいいですか?衣類? DockerでGUIアプリケーションを実行しますか?仮想マシンではないことをお勧めします。正常に動作しているかどうかを確認できますか?
答え1
/ tmpがtmpfsとしてマウントされると、メモリに完全に存在し、ディスクに触れません。これは待ち時間を減らし、速度やアクセスを高めるという利点もあります。そうすることができなければ、あなたが言ったようにAppArmorやこれに似たものがおそらく最善の選択でしょう。また、破損したブラウザからユーザーを保護するのに役立ちます。
動作していることを確認する簡単なテストは、オムニバに入れてロードされていることを確認し、file:///tmp/
AppArmordmesg
アクセスが拒否されたことを確認することです。ディストリビューションのAppArmorポリシーがデフォルトで/ tmpへのアクセスをブロックしない場合は、次のコマンドを実行してその動作をオーバーライドできます。
# echo "deny /tmp/ w," >> /etc/apparmor.d/local/usr.bin.chrome
# echo "deny /tmp/** w," >> /etc/apparmor.d/local/usr.bin.chrome
次にAppArmor(/etc/init.d/apparmor reload
)を再起動してブラウザを再起動します。パスが正しいことを確認してくださいapparmor.d/local
。それ以外の場合は、次の更新時に上書きされます。次のリソースが役に立ちます。
http://wiki.apparmor.net/index.php/QuickProfileLanguage
http://wiki.apparmor.net/index.php/AppArmor_Core_Policy_Reference