firejail или что-то подобное, но включать ограничения по комманде

0

1

Сейчас я запускаю скажем браузер, что-то в нём в последнее время виснет и он начинает «жрать CPU» пока я его не прибью.

Пусть скажем CPU у меня резиновый, но вот перезапускать браузер ни как не хочется т.к. потомучто.

Но хочется успокоить внутреннего параноика и иметь возможность по кнопке включать/выключать доступ браузеру/приложению в интернет, или даже оставить доступ только к конкретным подсетям.

В голову приходят контейнеры или firejail, но я что-то не вижу там возможности по комманде «зарезать доступ»

Я наверное могу нагородить всякого сам, но уверен, что я такой не первый и тут кто-то уже знает почти готовое решение

←	Fedora 39 не запускается на ядре 6.6.x.x

crux-3.7 gpm

→

Сначала нужно выяснить что там именно жрёт в firefox есть диспетчер задач Трипалоски->Другие инструменты и смотри что долбит в проц.

А так сделать renice процесса. Или если это внешняя нагрузка я фиг знаю как, но можно например заморозить процесс

kill -STOP `pidof имяпроцесса`
kill -CONT `pidof имяпроцесса`

Все соединения отвалятся и возможно связанная с ними нагрузка, ну как эксперимент.

«зарезать доступ»

Какой доступ и к чему? =)

LINUX-ORG-RU ★★★★★
(06.12.23 23:40:09 MSK)

Ответ на: комментарий от LINUX-ORG-RU 06.12.23 23:40:09 MSK

Сначала нужно выяснить что там именно жрёт в firefox

Я гонял его каким-то внутренним отладчиком, говорит, что что-то там переотрисовывается или я плохо смотрю. «потребляет CPU» главный процесс, но мне это ни о чём не говорит.
При чём закрыть все вкладки по одной не помогает или помогает раз через несколько, всё равно что-то у него внутре происходит.

kill ...

у меня этих процессов целое дерево, и плодится по несколько на каждую вкладку, и мне ещё и надо отфильтровать от рядом запущенных соседних профилей. Думаю это движение не в ту сторону.

Какой доступ и к чему? =)

Внутренний параноик говорит, что что-то там происходит и надо для спокойствия зарезать ему доступ в сеть, а когда понадобится вернуть. И всё это не перезапуская браузер.

Flotsky ★★
(06.12.23 23:45:45 MSK) автор топика

Ответ на: комментарий от Flotsky 06.12.23 23:45:45 MSK

Внутренний параноик говорит, что что-то там происходит и надо для спокойствия зарезать ему доступ в сеть, а когда понадобится вернуть. И всё это не перезапуская браузер.

Очень странная логика. Правильно по-другому: делаешь несколько разных профилей, желательно изолированных друг от друга как минимум разными юзерами, а лучше - разными машинами. Каждый профиль в зависимости от нужд настраиваешь как надо.

Соответственно браузер с полным доступом к инету запускаешь только для просмотра всякого мусора и ничего важного в нём не хранишь.

firkax ★★★★★
(07.12.23 00:01:33 MSK)

Ответ на: комментарий от firkax 07.12.23 00:01:33 MSK

делаешь несколько разных профилей

Собственно уже

желательно изолированных друг от друга

Мне пока хватает изоляции на уровне профилей браузера

Соответственно браузер с полным доступом к инету запускаешь только для просмотра всякого мусора

Я ещё не на столько параноик, переспросите лет через сколько-то.

Сейчас надо точечно запрещать доступ в интернет приложению по кнопке. В текущем контексте приложением является браузер, но не вижу смысл только на браузере останавливаться.

Flotsky ★★
(07.12.23 00:07:50 MSK) автор топика

Я добрался до поспрашивать гугл и бегло нагуглил https://superuser.com/questions/1068518/how-to-create-a-tor-only-network-interface-suitable-for-firejail/1231279#1231279

Т.е. перед запуском приложения создать для него отдельный netns и далее силами iptables править доступом

Сильно позже попробую провернуть, хотелось бы избежать действий от root

Flotsky ★★
(08.12.23 20:12:38 MSK) автор топика

←	Fedora 39 не запускается на ядре 6.6.x.x

Desktop

crux-3.7 gpm

→

Похожие темы