[Kde Neon] Securiser davantage les programmes sandboxes avec Firejail
par
, 30/06/2020 à 15h36 (170 Affichages)
*
En lancant un programme sandboxe avec firejail dans un repertoire prive, j'ai eu la surprise de voir qu'il pouvait acceder a /media et apparement a d'autres.... le montage des disques dur chiffres ou non se fait dans /media. c'est une importante faille de securite puisque les programmes lances avec firejail y ont directement acces. il existe cependant une option pour empecher l'acces a ces repertoires (il fallait le savoir) :
- desactiver l'acces a /mnt, /media, /run/mount and /run/media :
--disable-mnt
note : a noter que la pluparts des profils livres avec firejail integrent directement cette option mais certains ne sont pas actives (a verifier). par exemple firefox est protege par defaut. je m'en suis appercu en desactivant le profil en ligne de commande dans le cadre d'un test de programme. dans ce cas il faut imperativement ajouter le parametre --disable-mnt...