Я - не параноик, но есть такое приложение
Firejail для безопасного запуска потенциально уязвимых приложений.
В Matuntu-B64 установил из официального репозитория Ubuntu пакеты:
sudo apt install firejail firetoolsЗапускается из системных приложений в графическом интерфейсе
Firetools.
Firejail запускает приложения в режиме sandbox-изоляции, формируемом при помощи механизма пространств имён (namespaces) и фильтрации системных вызовов (seccomp-bpf) в Linux. Утилита оформлена в виде исполняемого SUID-файла, который может использоваться в качестве прослойки для запуска различных консольных, серверных и графических приложений. Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox.
В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения.
Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.
Попробуем запустить, например, Firefox, в изолированном контейнере:
firejail --seccomp firefoxВ Firejail еще имеется специальный приватный режим. В этом режиме все файлы созданные приложением удаляются сразу-же после его закрытия. Войти в приватный режим очень просто:
firejail --seccomp --private firefoxИнформацию об опциях как обычно можно получить используя команду man:
man firejailПодробнее о работе этой утилиты можно почитать
здесь и
здесь.
