( log69 | 2014. 02. 09., v - 13:44 )

su -c "yum install policycoreutils-sandbox"

majd a fenti parancs. "man sandbox" még hasznos lehet.

A rövid lényeg annyi, hogy egy teljesen különálló X session-t nyit Xephyr-rel a programnak SELinux szabályokkal körbebetonozva. A Xephyr és így a különálló X miatt a GUI-n keresztüli betörés kivédve. Egy Python-os utility.

A /tmp-n belül lesznek a gyökér mappái a sandbox sessionben futó programnak. A fenti firefox futattása után ilyen mappák lesznek a session idejére:

$ ls -ltrad /tmp/.sand*
drwx------. 2 andras andras  40 Feb  9 13:25 /tmp/.sandbox_tmp_A4O6n1
drwx------. 7 andras andras 200 Feb  9 13:25 /tmp/.sandbox_home_KcWQxB
drwxrwx--T. 3 root   andras  60 Feb  9 13:25 /tmp/.sandbox-andras-atRZ1l

Játszál vele nyugodtan. A rendszer SELinux beállításaihoz ne nyúljál, csak a sandbox parancsot használd. Pl.

sandbox -X xterm

sandbox -t sandbox_net_t -X -- firefox

A firefox esetén bármennyi különálló példányt elindíthatsz így, amelyek nem tudnak egymásról és semmi közük nem lesz egymáshoz. A -i kapcsolóval pedig bármennyi mappát átadhatsz a sandbox-olt programnak, amely mappák a futás idejére átmásolásra kerülnek ugyanolyan mappa struktúrában. Nekem a ~/.mozilla/plugins mappába van bemásolva a libflashplugin.so, ezért így használom a böngészőt nem megbízható oldalakhoz vagy teszteléshez:

sandbox -i ~/.mozilla/plugins -t sandbox_net_t -X -- firefox

Ezt még nézd meg:

sandbox -t

Megjegyzés: a böngészőt nem sandbox_web_t-vel használom azért, mert socks5 meg egyéb proxy-hoz akkor kevés lenne a jog. De sima böngészéshez használhatod ezt a korlátozottabb beállítást. Ekkor csak http és https portokat enged neki.

Szerk.: a Chrome-ot próbáltam pár éve így futtatni, de olyan PID-es meg egyéb trükközéseket használ, hogy akkor pár éve még nem ment ezzel a sandbox megoldással. Midori is remekül megy illetve általában minden. Torrent, vlc stream meg egyéb.