Firejailは完全なセキュリティを提供します(Inetからダウンロードしたスクリプトの場合)。

Firejailは完全なセキュリティを提供します(Inetからダウンロードしたスクリプトの場合)。

信頼できないネットワークからダウンロードしたスクリプトを実行する必要があります。

Firejailでこのようなスクリプトを実行したいと思います。

しかし、firejail --caps.drop=all ls /home/porton/それは私のホームディレクトリにアクセスできることを示しています!これは私にとって必要なものではありません。

秘密以外の情報にのみアクセスできるようにFirejail(または他のセキュリティコンテナ)を設定するにはどうすればよいですか(オペレーティングシステムが/usr//tmp空白の方が良い)にインストールされており、ホームディレクトリがありません)?

Debian Linux。

答え1

例のコマンドは次のとおりです。

firejail --caps.drop=all ls /home/porton/

Firejailに従って/home/porton/ディレクトリにサンドボックスを作成します。文書。これはFirefox用のサンドボックスを作成する方法の例です。マンページを実行すると、スクリプトが要求した動作を達成するために構成ファイルを生成する必要があるか、使用するディレクトリを指定する必要があることがわかります。以下は、コンテナのchrootを生成する例です。

firejail --caps.drop=all --chroot=/tmp/test [Path/to/your/script/here]

Firejailは他のアプリケーションに属するシステムディレクトリとディレクトリをインポートし、読み取り専用でマウントし、アプリケーションはそれを変更できません。これをテストするには、--auditフラグを使用してサンドボックスをテストすることを忘れないでください。サンドボックス外部ディレクトリに書き込み、サンドボックス外部ファイルから読み取るスクリプトなど、信頼できるbashスクリプトでこれらすべてをテストします。

別のオプションは、ネットワークに接続されていない仮想マシンまたはネットワークに接続されていない他のコンピュータで信頼できないスクリプトを実行することです。頑張ってください。実行したいプログラムのドキュメントを参照することを忘れないでください。

関連情報