История изменений
Исправление
Psych218,
(текущая версия)
:
Установить и запустить приложения изолированно от системы, чтобы они не трогали никакие файлы в / и /home; т.е. песочницу.
Для этого их не нужно устанавливать в отдельный каталог. Можно, но не обязательно. Если запускать приложение от обычного пользователя, а не рута, оно и так не может ничего тронуть в /. Даже если само лежит там. Это не имеет значения. В /home может. А вот чтобы не могло и в /home, используй например firejail. Запускать так:
mkdir pseudo_home
firejail --private=pseudo_home --net=none mydangerousapplication
Соответственно, приложение запустится и будет считать каталог pseudo_home хомяком пользователя, от которого это запущено. При этом в настоящий хомяк у него доступа не будет. Не просто прав, а оно вообще не будет знать о том, что есть ещё и какой-то настоящий хомяк.
Также можно просто --private вместо --private=pseudo_home. Тогда псевдохомяк для программы будет в tmpfs и не будет сохраняться на диске вообще, то есть никаких следов. Ну и --net=none, конечно же, опционально.
Как-то так. Подробнее man firejail.
Исходная версия
Psych218,
:
Установить и запустить приложения изолированно от системы, чтобы они не трогали никакие файлы в / и /home; т.е. песочницу.
Для этого их не нужно устанавливать в отдельный каталог. Можно, но не обязательно. Если запускать приложение от обычного пользователя, а не рута, оно и так не может ничего тронуть в /. Даже если само лежит там. Это не имеет значения. В /home может. А вот чтобы не могло и в /home, используй например firejail. Запускать так:
mkdir pseudo_home
firejail --private=pseudo_home --net=none mydangerousapplication
Соответственно, приложение запустится и будет считать каталог pseudo_home хомяком пользователя, от которого это запущено. При этом в настоящий хомяк у него доступа не будет. Не просто прав, а оно вообще не будет знать о том, что есть ещё и какой-то настоящий хомяк. Как-то так. Подробнее man firejail