su -c "yum install policycoreutils-sandbox"
majd a fenti parancs. "man sandbox" még hasznos lehet.
A rövid lényeg annyi, hogy egy teljesen különálló X session-t nyit Xephyr-rel a programnak SELinux szabályokkal körbebetonozva. A Xephyr és így a különálló X miatt a GUI-n keresztüli betörés kivédve. Egy Python-os utility.
A /tmp-n belül lesznek a gyökér mappái a sandbox sessionben futó programnak. A fenti firefox futattása után ilyen mappák lesznek a session idejére:
$ ls -ltrad /tmp/.sand*
drwx------. 2 andras andras 40 Feb 9 13:25 /tmp/.sandbox_tmp_A4O6n1
drwx------. 7 andras andras 200 Feb 9 13:25 /tmp/.sandbox_home_KcWQxB
drwxrwx--T. 3 root andras 60 Feb 9 13:25 /tmp/.sandbox-andras-atRZ1l
Játszál vele nyugodtan. A rendszer SELinux beállításaihoz ne nyúljál, csak a sandbox parancsot használd. Pl.
sandbox -X xterm
sandbox -t sandbox_net_t -X -- firefox
A firefox esetén bármennyi különálló példányt elindíthatsz így, amelyek nem tudnak egymásról és semmi közük nem lesz egymáshoz. A -i kapcsolóval pedig bármennyi mappát átadhatsz a sandbox-olt programnak, amely mappák a futás idejére átmásolásra kerülnek ugyanolyan mappa struktúrában. Nekem a ~/.mozilla/plugins mappába van bemásolva a libflashplugin.so, ezért így használom a böngészőt nem megbízható oldalakhoz vagy teszteléshez:
sandbox -i ~/.mozilla/plugins -t sandbox_net_t -X -- firefox
Ezt még nézd meg:
sandbox -t
Megjegyzés: a böngészőt nem sandbox_web_t-vel használom azért, mert socks5 meg egyéb proxy-hoz akkor kevés lenne a jog. De sima böngészéshez használhatod ezt a korlátozottabb beállítást. Ekkor csak http és https portokat enged neki.
Szerk.: a Chrome-ot próbáltam pár éve így futtatni, de olyan PID-es meg egyéb trükközéseket használ, hogy akkor pár éve még nem ment ezzel a sandbox megoldással. Midori is remekül megy illetve általában minden. Torrent, vlc stream meg egyéb.