История изменений
Исправление Slack, (текущая версия) :
Первое время мне тоже было непривычно, но потом я понял, что браузеру по хорошему не нужен доступ к файловой системе. Да, иногда неудобно таскать файлики в Downloads, но зато безопасно :). Если все же нужно дать браузеру доступ куда-то - то это сделать не просто, а очень просто. Достаточно к̶у̶п̶и̶т̶ь̶ ̶п̶р̶о̶с̶т̶о̶й̶ ̶с̶о̶в̶е̶т̶с̶к̶и̶й̶.̶.̶.̶ отредактировать файлики /etc/firefox/unveil.* /etc/chrome/unveil.* если нужно дать доступ к файловой системе, либо /etc/firefox/pledge.* если нужен какой-то системный вызов.
в файликах unevil все очень просто и понятно:
...
~/.pki rwc
~/.sndio rwc
~/.terminfo r
~/.mozilla rwc
~/Downloads rwc
...
несложно же ведь, правда?
Как понять, что не хватило доступа к каким-то системным вызовам? Очень просто. Если упал браузер - загляни в dmesg, если там последние строчки будут про firefox и pledge - это оно. Там же будет написано, что именно оно пыталось сделать, и ты можешь это принести в /etc/firefox/pledge.*
Запускать браузер из-под другого пользователя сложнее, да и менее безопасно, куча файлов в системе открыта на чтение. Ну и эта штука сделана не для того, чтобы у тебя из браузера не сперли пароль от сайта, а чтобы через потенциальную уязвимость в браузере у тебя не стырили ~/.ssh/id_rsa
Исправление Slack, :
Первое время мне тоже было непривычно, но потом я понял, что браузеру по хорошему не нужен доступ к файловой системе. Да, иногда неудобно таскать файлики в Downloads, но зато безопасно :). Если все же нужно дать браузеру доступ куда-то - то это сделать не просто, а очень просто. Достаточно к̶у̶п̶и̶т̶ь̶ ̶п̶р̶о̶с̶т̶о̶й̶ ̶с̶о̶в̶е̶т̶с̶к̶и̶й̶.̶.̶.̶ отредактировать файлики /etc/firefox/unveil.* /etc/chrome/unveil.* если нужно дать доступ к файловой системе, либо /etc/firefox/pledge.* если нужен какой-то системный вызов.
в файликах unevil все очень просто и понятно:
...
~/.pki rwc
~/.sndio rwc
~/.terminfo r
~/.mozilla rwc
~/Downloads rwc
...
несложно же ведь, правда?
Как понять, что не хватило доступа к каким-то системным вызовам? Очень просто. Если упал браузер - загляни в dmesg, если там последние строчки будут про firefox и pledge - это оно. Там же будет написано, что именно оно пыталось сделать, и ты можешь это принести в /etc/firefox/pledge.*
Запускать браузер из-под другого пользователя сложнее, да и менее безопасно, куча файлов в системе открыта на чтение.
Исправление Slack, :
Первое время мне тоже было непривычно, но потом я понял, что браузеру по хорошему не нужен доступ к файловой системе. Да, иногда неудобно таскать файлики в Downloads, но зато безопасно :). Если все же нужно дать браузеру доступ куда-то - то это сделать не просто, а очень просто. Достаточно к̶у̶п̶и̶т̶ь̶ ̶п̶р̶о̶с̶т̶о̶й̶ ̶с̶о̶в̶е̶т̶с̶к̶и̶й̶.̶.̶.̶ отредактировать файлики /etc/firefox/unveil.* /etc/chrome/unveil.* если нужно дать доступ к файловой системе, либо /etc/firefox/pledge.* если нужен какой-то системный вызов.
в файликах unevil все очень просто и понятно:
...
~/.pki rwc
~/.sndio rwc
~/.terminfo r
~/.mozilla rwc
~/Downloads rwc
...
несложно же ведь, правда?
Как понять, что не хватило доступа к каким-то системным вызовам? Очень просто. Если упал браузер - загляни в dmesg, если там последние строчки будут про firefox и pledge - это оно.
Запускать браузер из-под другого пользователя сложнее, да и менее безопасно, куча файлов в системе открыта на чтение.
Исправление Slack, :
Первое время мне тоже было непривычно, но потом я понял, что браузеру по хорошему не нужен доступ к файловой системе. Да, иногда неудобно таскать файлики в Downloads, но зато безопасно :). Если все же нужно дать браузеру доступ куда-то - то это сделать не просто, а очень просто. Достаточно к̶у̶п̶и̶т̶ь̶ ̶п̶р̶о̶с̶т̶о̶й̶ ̶с̶о̶в̶е̶т̶с̶к̶и̶й̶.̶.̶.̶ отредактировать файлики /etc/firefox/unveil.* /etc/chrome/unveil.* если нужно дать доступ к файловой системе, либо /etc/firefox/pledge.* если нужен какой-то системный вызов.
в файликах unevil все очень просто и понятно:
...
~/.pki rwc
~/.sndio rwc
~/.terminfo r
~/.mozilla rwc
~/Downloads rwc
...
несложно же ведь, правда?
Как понять, что нужно дать еще доступ к каким-то системным вызовам? Очень просто. Если упал браузер - загляни в dmesg, если там последние строчки будут про firefox и pledge - это оно.
Запускать браузер из-под другого пользователя сложнее, да и менее безопасно, куча файлов в системе открыта на чтение.
Исходная версия Slack, :
Первое время мне тоже было непривычно, но потом я понял, что браузеру по хорошему не нужен доступ к файловой системе. Да, иногда неудобно таскать файлики в Downloads, но зато безопасно :). Если все же нужно дать браузеру доступ куда-то - то это сделать не просто, а очень просто. Достаточно к̶у̶п̶и̶т̶ь̶ ̶п̶р̶о̶с̶т̶о̶й̶ ̶с̶о̶в̶е̶т̶с̶к̶и̶й̶.̶.̶.̶ отредактировать файлики /etc/firefox/unveil.* /etc/chrome/unveil.* если нужно дать доступ к файловой системе, либо /etc/firefox/pledge.* если нужен какой-то системный вызов.
в файликах unevil все очень просто и понятно:
...
~/.pki rwc
~/.sndio rwc
~/.terminfo r
~/.mozilla rwc
~/Downloads rwc
...
Как понять, что нужно дать еще доступ к каким-то системным вызовам? Очень просто. Если упал браузер - загляни в dmesg, если там последние строчки будут про firefox и pledge - это оно.