LINUX.ORG.RU

Как ограничить доступ к ~/.config/google-chrome?

 


0

2

Вот есть всякие флатпаки, firejail, они требуют что бы приложения запускались через них, но как мне ограничить доступ всем к папке ~/.config/google-chrome, кроме избранных приложений, thunar, mousepad и самого google chrome?

Не запускать же все через firejail, удобнее было бы наоборот, выдавать разрешение, а не вешать ограничения на процессы.

★★★★★

Последнее исправление: MOPKOBKA (всего исправлений: 1)

Проще всего будет запускать «thunar, mousepad и самого google chrome» от отдельного юзера.

Альтернатива — SELinux. Но геморнее, если он и так не используется, и нужен только для этого.

CrX ★★★★★
()
Ответ на: комментарий от MOPKOBKA

Запускать от другого пользователя не хочется

В PuppyLinux есть концепция отдельного бесправного пользователя spot, от которого запускаются приложения через команду run-as-spot chrome.

Можешь глянуть обсуждение, в качестве идеи для твоей системы. Там же и сам скрипт run-as-spot.gz.

p.s. Не знаю, этого ли ты хотел, но пусть будет.

krasnh ★★★★
()

Ну смотри, тут есть четыре основных подхода.

  1. Ничего не делать. В линуксе такой подход не принят и ты в любом случае будешь так или иначе страдать. Это в андроиде из коробки каждое приложение запускается от отдельного пользователя и в курсе про это.

  2. Подход на основе пользователей и групп. Или с помощью совсем традиционных юниксовых прав, или с помощью ACL. В любом случае тебе нужно будет запускать хром от отдельного пользователя (ну или все остальные приложения от отдельного пользователя, что, конечно, странновато.

  3. Подход на основе альтернативных систем распределения прав. Тут два основных игрока это SELinux и AppArmor. Оба используются редко и разбираться с ними будет непросто, но они дают возможность давать доступ альтернативными средствами, не трогая юниксовые права.

  4. Подход на основе chroot.

vbr ★★★★
()
Последнее исправление: vbr (всего исправлений: 1)

Не запускать же все через firejail

Попов, давай рожайся, тут подкинули кое что поинтереснее нескучных обоев. Можно сделать дистр в котором так и происходит

DumLemming ★★★
()
Ответ на: комментарий от kirill_rrr

Нужно всем кроме хрома запретить читать хром-файлы, и только так. Поэтому все же придется по такой логике остальные приложения туда запихивать.

Пока что проще выглядит вариант с AppArmor.

MOPKOBKA ★★★★★
() автор топика
Ответ на: комментарий от MOPKOBKA

https://help.ubuntu.ru/wiki/стандартные_права_unix

Ну а если мало и хочется более гибкого, то

https://help.ubuntu.ru/wiki/access_control_list

Понятно что мандатные права астры мы тут не рассматриваем. Ещё можно selinux-ом помазаться если всё совсем серьёзно хочется сделать.

ЗЫ если у тебя убунта то можно apparmor-ом обмазаться ещё

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от vbr

Ничего не делать. В линуксе такой подход не принят и ты в любом случае будешь так или иначе страдать. Это в андроиде из коробки каждое приложение запускается от отдельного пользователя и в курсе про это.

snap весело машет ручкой и лагает (при этом из его песочницы вылезти проще пареной репы, но вот фаерфокс в ней у меня периодически крашится из-за того как оно там работает через костыли)

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Хз, что за снап, я за 20 лет использования линукса с ним так и не столкнулся ни разу. Ну собственно это как бы и характеризует - под андроидом-то не крашится, а под этим снапом крашится, т.к. его, видимо, мало кто использует и разработчики особо не фиксят баги.

vbr ★★★★
()
Последнее исправление: vbr (всего исправлений: 2)
Ответ на: комментарий от MOPKOBKA

Не понимаю в чём принципиальная необходимость держать хром в хост-системе и изолировать именно всё остальное от него а не наоборот. Если есть хотя бы ускорение виртуализации на цпу, то проблемы ограничатся лёгкими фризами и отстствием ускорения видео, а это мелочи.

kirill_rrr ★★★★★
()