Аналог Sandboxie для Linux

firejail

ну… firejail это какое-то недоделанное творение на коленке. И оно не изолирует приложения. Например, я запускаю Firefox в firejail. Ставлю в якобы изолированном firefox add-on. И этот add-on появляется в не изолированном firefox. То есть изоляции нет.

Кури профили, ёпт. По умолчанию браузеры загоняются в джейл в которым то нельзя, сё нельзя, но в ~/.local/share/mozilla или чё-то там - как раз таки можно. Как разрешение уберёшь - ничего туда сохранить не смогут.

Спасибо. А есть какие-то более человеческие мануалы и гайды, кроме конфига на гитхабе?

Насчёт прямого аналога не подскажу, но с контейнеризацией в линуксе всё неплохо обстоит. Только она больше под сервер заточена, вестимо.

Запустите в докере, например : https://hub.docker.com/r/linuxserver/firefox

Или через systemd machine, например

bubblewrap.

И приведу простой пример:

$ bwrap --ro-bind / / --dev-bind /dev /dev --tmpfs /var --tmpfs /run --tmpfs /tmp --tmpfs /home firefox

В данном случае корень монтируется в режиме только чтения, и вместо реальных каталогов /var, /run, /tmp и /home монтируются новые в оперативной памяти (tmpfs), таким образом реальные каталоги Firefox не увидит. И так как это все монитруется в оперативку, после завершения работы Firefox и дочерних процессов песочница уничтожается.

Монтировать каталоги именно в tmpfs необязательно, можно создать отдельный реальный каталог и монтировать его, например, в качестве /home:

$ mkdir -p /home/user/firefox_new_home
$ bwrap --ro-bind / / --dev-bind /dev /dev --tmpfs /var --tmpfs /run --tmpfs /tmp --bind /home/user/firefox_new_home /home/user firefox

И тогда все конфиги будут сохранены в этом каталоге.

Если у тебя еще всякие /mnt и /media и в них что-нибудь смонтировано, то их тоже нужно будет смонтировать в tmpfs, чтобы скрыть их содержимое от приложения.

И начинать лучше не с Firefox, а с файлового менеджера, чтобы понять что видно изнутри песочницы.

Кроме того, еще может быть необходимо смонтировать сокет Wayland (если у тебя Wayland) или сокет X и файл Xauthority (если у тебя Xorg), иначе графические приложения не запустятся.

--bind /tmp/.X11-unix /tmp/.X11-unix --bind $XAUTHORITY $XAUTHORITY

Чтобы не заморачиваться с сокетами, можно просто не перемонтировать /var, /run и /tmp в tmpfs.

Прям на ЛОРе на главной есть хорошая и подробная [статья] (FireJail -- краткое и ознакомительное практическое руководство)

Спасибо, большое, это то, что мне надо!

Мне проще установить отдельную систему в systemd-nspawn контейнер. Самоочистку можно сделать путем использования снэпшотов btrfs.

Но смутно припоминаю, что в X нет изоляции процессов, то есть, если мы открыли доступ к экрану для Firefox (некоторые, к тому же, делают это через xhost +, LOL, даже в интернете полно таких рекомендаций), то вражеский код сможет делать снимки экрана, перехватывать нажатия клавиш, и так далее.

Что сделать для полностью безопасной изоляции - не знаю, кроме нескольких отдельных устройств, или виртуалок, в крайнем случае.