文書LinuxサンドボックスアプリケーションFirejailは言います。
X11を扱うたびに、新しいネットワークネームスペースもインストールする必要があります。これは、すでにコンピュータで実行されているプライマリX11サーバーで開かれた抽象Unixソケットへのアクセスを防ぐ唯一の方法です。
これは、ネットワークインタフェースを介してのみUnixソケットに接続できることを示しています。つまり、実際にはファイルシステムでファイルとして開くことはできません。私にとっては、これは奇妙に見えます。これは、Unixドメインソケットをファイルとしてライセンスする目的を完全に無効にしませんか?ファイルシステムにアクセスせずにXサーバーのソケットにアクセスすることは本当に可能ですか?
ベストアンサー1
...アクセスをブロック抽象的なUnixソケット
通常のUNIXソケットと抽象ソケットには違いがあります。汎用UNIXソケットはファイルシステムのパスにバインドされ、そのパスのアクセス権はソケットのアクセス権を定義します。
対照的に、抽象UNIXソケットはファイルシステムとは無関係です。これらのソケットのアドレスは独自のスペースにあり、ローカルコンピュータの他のプロセスからアクセスできますが、コンピュータの外部からはアクセスできません。