还可以用Firejail
Firejail是一个SUID(设置所有者用户ID)应用程序,它通过使用Linux命名空间和seccomp-bpf限制不受信任程序的运行环境来减少安全漏洞的暴露。
它使一个进程及其所有后代拥有自己的全局共享内核资源的秘密视图,例如网络堆栈,进程表,挂载表。
Firejail使用的一些功能:
Linux名称空间
文件系统容器
安全过滤器
网络支持
资源分配
有关Firejail功能的详细信息,请参阅官方页面。
如何在Linux中安装Firejail
可以使用git命令从项目的github页面下载最新的软件包来完成安装,如图所示。
linuxidc@linuxidc:~/www.linuxidc.com$ git clone https://github.com/netblue30/firejail.git
正克隆到 'firejail'...
remote: Enumerating objects: 23, done.
remote: Counting objects: 100% (23/23), done.
remote: Compressing objects: 100% (18/18), done.
remote: Total 38395 (delta 11), reused 11 (delta 5), pack-reused 38372
接收对象中: 100% (38395/38395), 9.82 MiB | 87.00 KiB/s, 完成.
处理 delta 中: 100% (30820/30820), 完成.
linuxidc@linuxidc:~/www.linuxidc.com$ cd firejail
linuxidc@linuxidc:~/www.linuxidc.com/firejail$ ./configure && make && sudo make install-strip
checking for gcc... gcc
checking whether the C compiler works... yes
checking for C compiler default output file name... a.out
checking for suffix of executables...
checking whether we are cross compiling... no
checking for suffix of object files... o
如何在Linux中使用Firejail运行应用程序如何在Linux中使用Firejail运行应用程序
如果您的系统上没有安装git,可以使用以下命令安装它:
$ sudo apt install git [在 Debian/Ubuntu]
# yum install git [在 CentOS/RHEL]
# dnf install git [在 Fedora 22+]
安装firejail的另一种方法是下载与Linux发行版相关联的软件包,并使用其软件包管理器进行安装。 可以从项目的SourceForge页面下载文件。 下载文件后,可以使用以下命令安装:
$ sudo dpkg -i firejail_X.Y_1_amd64.deb [在 Debian/Ubuntu]
$ sudo rpm -i firejail_X.Y-Z.x86_64.rpm [在 CentOS/RHEL/Fedora]
如何在Linux中使用Firejail运行应用程序
您现在可以使用firejail运行应用程序了。 这是通过启动终端并在您希望运行的命令之前添加firejail来实现的。
下面是一个例子:
如何在Linux中使用Firejail运行应用程序如何在Linux中使用Firejail运行应用程序
$ firejail firefox #启动 Firefox网络浏览器
$ firejail vlc # 启动 VLC 播放器
创建安全配置文件
Firejail包含许多针对不同应用程序的安全配置文件,它们存储在:
/etc/firejail
如果您从源代码构建项目,则可以在以下位置找到配置文件:
# path-to-firejail/etc/
如果您使用了rpm/deb软件包,则可以在以下位置找到安全配置文件:
/etc/firejail/
用户应将其配置文件放在以下目录中:
~/.config/firejail
如果要扩展现有安全配置文件,可以使用包含配置文件路径的include,然后添加行。 这应该是这样的:
$ cat ~/.config/firejail/vlc.profile
include /etc/firejail/vlc.profile
net none
如果您希望限制应用程序访问某个目录,您可以使用黑名单规则来实现这一目标。 例如,您可以将以下内容添加到安全配置文件中:
blacklist ${HOME}/Documents
实现相同结果的另一种方法是实际描述您希望限制的文件夹的完整路径:
blacklist /home/user/Documents
您可以通过许多不同的方式配置安全配置文件,例如禁止访问,允许只读访问等。如果您有兴趣构建自定义配置文件,可以查看以下firejail说明。
对于想要保护系统的安全用户来说,Firejail是一个很棒的工具。
网友回复
DLNA与UPnP的区别和不同?
苏超自建抢票app,通过先预约再抽签化解高并发抢票?
python如何让给电脑在局域网中伪装成电视接收手机的投屏图片视频播放?
如何结合python+js如何自己的视频编码与加密播放直播?
python如何在电脑上通过局域网将本地视频或m3u8视频投屏电视播放?
腾讯视频爱奇艺优酷vip电影电视剧视频如何通过python绕过vip收费直接观看?
有没有可免费观看全球电视台直播m3u8地址url的合集?
有没有实现观影自由的免vip影视苹果 CMS V10 API的可用url?
python如何实时检测电脑usb插入检测报警?
如何判断真人操作的鼠标移动直线轨迹与机器操作的轨迹?
