サンドボックスChrome（または他のブラウザ）

Question

/ tmpがtmpfsとしてマウントされると、メモリに完全に存在し、ディスクに触れません。これは待ち時間を減らし、速度やアクセスを高めるという利点もあります。そうすることができなければ、あなたが言ったようにAppArmorやこれに似たものがおそらく最善の選択でしょう。また、破損したブラウザからユーザーを保護するのに役立ちます。

動作していることを確認する簡単なテストは、オムニバに入れてロードされていることを確認し、file:///tmp/AppArmordmesgアクセスが拒否されたことを確認することです。ディストリビューションのAppArmorポリシーがデフォルトで/ tmpへのアクセスをブロックしない場合は、次のコマンドを実行してその動作をオーバーライドできます。

# echo "deny /tmp/ w," >> /etc/apparmor.d/local/usr.bin.chrome
# echo "deny /tmp/** w," >> /etc/apparmor.d/local/usr.bin.chrome

次にAppArmor（/etc/init.d/apparmor reload）を再起動してブラウザを再起動します。パスが正しいことを確認してくださいapparmor.d/local。それ以外の場合は、次の更新時に上書きされます。次のリソースが役に立ちます。

http://wiki.apparmor.net/index.php/QuickProfileLanguage

http://wiki.apparmor.net/index.php/AppArmor_Core_Policy_Reference

Answer 1

/ tmpがtmpfsとしてマウントされると、メモリに完全に存在し、ディスクに触れません。これは待ち時間を減らし、速度やアクセスを高めるという利点もあります。そうすることができなければ、あなたが言ったようにAppArmorやこれに似たものがおそらく最善の選択でしょう。また、破損したブラウザからユーザーを保護するのに役立ちます。

動作していることを確認する簡単なテストは、オムニバに入れてロードされていることを確認し、file:///tmp/AppArmordmesgアクセスが拒否されたことを確認することです。ディストリビューションのAppArmorポリシーがデフォルトで/ tmpへのアクセスをブロックしない場合は、次のコマンドを実行してその動作をオーバーライドできます。

# echo "deny /tmp/ w," >> /etc/apparmor.d/local/usr.bin.chrome
# echo "deny /tmp/** w," >> /etc/apparmor.d/local/usr.bin.chrome

次にAppArmor（/etc/init.d/apparmor reload）を再起動してブラウザを再起動します。パスが正しいことを確認してくださいapparmor.d/local。それ以外の場合は、次の更新時に上書きされます。次のリソースが役に立ちます。

http://wiki.apparmor.net/index.php/QuickProfileLanguage

http://wiki.apparmor.net/index.php/AppArmor_Core_Policy_Reference

サンドボックスChrome（または他のブラウザ）

ベストアンサー1

おすすめ記事