Firejail
Введение
Firejail - это очень простая в использовании программа, изначально разработанная для повышения безопасности Firefox путем его изоляции (помещения в песочницу) от остальной системы. Firejail не ограничивается этим и может использоваться одновременно во многих частях вашей системы. Об этом стоит прочитать на сайте Firejail (ссылка выше).
Со страницы Github:
Firejail - это программа-песочница SUID, которая снижает риск нарушения безопасности, ограничивая среду выполнения недоверенных приложений с помощью пространств имен Linux, seccomp-bpf и возможностей Linux. Она позволяет процессу и всем его потомкам иметь свое собственное частное представление о глобально разделяемых ресурсах ядра, таких как сетевой стек, таблица процессов и таблица монтирования.
Установка firejail
Firejail доступен в репозитории. Установите его с помощью графического менеджера пакетов или с помощью pacman.
sudo pacman -S firejail
Использование Firejail
Просто добавьте к команде или приложению префикс firejail. Например:
firejail firefox
Вы даже можете интегрировать firejail в весь рабочий стол. Каждое запущенное приложение будет использовать песочницу firejail, если она поддерживается по умолчанию. Для этого воспользуйтесь командой:
sudo firecfg
Список всех поддерживаемых приложений смотрите здесь
Графический интерфейс
Команда firejail также разрабатывает графический пользовательский интерфейс для firejail под названием firetools. Он доступен в AUR.
Блокировка приложению доступа к интернету
Вы можете использовать опцию --net=none, чтобы firejail не разрешал доступ к сети, как это сделано:
firejail –-net=none thunderbird
Но эта опция блокирует доступ к локальной сети, например, доступ к общим папкам. Чтобы сохранить доступ к локальной сети, но заблокировать доступ приложения к интернету, используйте опцию --protocol=unix. Например:
firejail --protocol=unix thunderbird