V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ryan4yin
V2EX  ›  Linux

使用 Apparmor Bubblewrap 保护浏览器 cookie、限制 QQ/TG 访问权限,有参考资料吗?

  •  
  •   ryan4yin ·
    ryan4yin · 113 天前 · 1235 次点击
    这是一个创建于 113 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近几年时常在 X 上看到各种币圈被盗、隐私泄漏新闻,就想着给关键数据加个访问控制,以及把 QQ 之类的闭源软件全部丢进沙箱里跑,但搜索发现相关资料挺少的,所以想了解下各位 V2 网友是怎么做 Linux 安全加固的。

    我主力电脑是 NixOS ,桌面用的 Hyprland ,硬盘采用了 Btrfs + LUKS 全盘加密 + Secure Boot ,目前在探索尝试的系统加固配置如下:

    https://github.com/ryan4yin/nix-config/tree/nixos-hardening/hardening

    另外我年初也基于自己的折腾经验写过篇搞数据安全的文章,欢迎各位交流讨论。

    https://thiscute.world/posts/an-incomplete-guide-to-data-security/

    6 条回复    2024-09-05 21:26:38 +08:00
    ryan4yin
        1
    ryan4yin  
    OP
       113 天前
    比较理想的可能是做到类似现在 Android/IOS 那种细粒度的 APP 权限控制,bubblewrap 能做到类似的效果,但是要慢慢调试,还挺麻烦的。
    ryan4yin
        2
    ryan4yin  
    OP
       113 天前
    firejail 有很多现成的配置能用,比较方便,但又被很多人喷它的设计有安全问题,不太敢用。
    amber0317
        3
    amber0317  
       113 天前
    试试 flatpak ?我也是 NixOS ,对于不干净的桌面软件直接丢进 flatpak 限制进沙箱处理了。
    劣势就是占用空间大点,然后不够 native (
    ryan4yin
        4
    ryan4yin  
    OP
       113 天前
    @amber0317 flatpak 主要是不够声明式,不过装个 QQ 确实 OK ,我最近在整的 nixpak 也是用了 flatpak 的 bubblewrap ,更可控些,缺点就是配置起来很麻烦。

    我再折腾下吧,如果不好搞就换成 flatpak
    cnt2ex
        5
    cnt2ex  
       112 天前
    flatpak 就有一定的沙箱功能,并且还可以通过 flatpak override 来修改默认人配置(或者使用 flatseal 图形界面工具)

    flathub 里也有别人打包好的 QQ 和 telegram 。比如 QQ:
    https://github.com/flathub/com.qq.QQ/blob/master/com.qq.QQ.yaml

    文件系统相关的部分只开放了
    --filesystem=xdg-download
    --filesystem=xdg-run/pipewire-0
    --filesystem=/tmp
    这 3 个地方

    所以 flatpak 版的 QQ ,除非 QQ 偷偷地搞什么沙箱逃逸之类行为,默认是读取不到这几个以外的地方的。
    ryan4yin
        6
    ryan4yin  
    OP
       112 天前
    @cnt2ex 哇这个好啊,我可以直接把这个配置抄到我的 nixpak 配置里,这样体验是一致的,而且也能声明式。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2982 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 14:05 · PVG 22:05 · LAX 06:05 · JFK 09:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.