Как запускать "untrusted" приложения под другим пользователем?
От: crawling-web-crawler  
Дата: 26.08.15 22:50
Оценка:
Привет, уважаемые!

Как можно запереть неблагонадежное приложение в $HOME специально заведенного пользователя, чтобы оно не могло дотянуться для данных не для чужих глаз?
Допустим, что не хочется с внешним миром делиться пиратским контентом, компрометирующими данными, эротикой с тентаклями, свидетельствами уклонения от уплаты налогов, чертежами ракет и т.д.
При этом приходится пользоваться несколькими приложениями, такими как skype, которые небезосновательно можно считать враждебным ПО (особенно в свете последних событий, когда windows 10 может шариться по пользовательским данным и блокировать запуск пиратских приложений).

Будет ли удовлетворительным решением запретить свой $HOME для other вообще и запускать всякую вражину вот таким макаром:
$ sudo -H -u nobody bash -c 'echo "I am $USER, with uid $UID. I live in $HOME"'
I am nobody, with uid 65534. I live in /nonexistent
?

Сейчас всё untrusted ПО стоит в виртуальной машине. Первое, что пришло на ум — выселить его в "песочницу". Но есть неудобства, например, уведомления о сообщениях так не увидеть.
Другое опасение: в процессе установки/обновления вражина получает root и может доступиться к файловой системе, куда я не хочу пускать посторонних.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.