Подскажите, можно ли как-то настроить firejail так, чтобы нужные мне программы не могли запускаться вне этой песочницы?
Если что про firecfg, firecfg –fix в курсе и он меня не устраивает.
Например, я собрал telegram-desktop, выполняю firecfg –fix – и ничего не появляется в ~/.local/share/applications.
Ок, я могу создать desktop-файл самостоятельно и вписать в Exec firejail перед вызовом telegram-desktop. Но вдруг файл случайно удалится, или перезапишется?
Есть еще лайфхак с ln -s /usr/bin/firejail /usr/local/bin/telegram-desktop, но он мне тоже не нравится, потому что $PATH можно переопределить, убрав /usr/local/bin, или вписав его в конец списка. В конце-концов тот же KDE запускает бинари в приоритете из /usr/bin/, игорируя мой telegram-desktop -> /usr/bin/firejail в /usr/local/bin
Хоть ты бинарники в /usr/bin/ правь, типа:
cat telegram-desktop:
#!/bin/sh
firejail /usr/bin/telegram-desktop.bin
Но этот вариант тоже говно, потому что скрипт проживёт до первого обновления.
Вот и ломаю голову как лучше организовать)
Linux.org.ru: Форум – Security