• [^] # Re: bubblewrap

    Posté par . En réponse au journal Sandboxer des applications avec bubblewrap (1/3) : un shell basique. Évalué à 2.

    je préfère oublier de partager quelque chose d’important, que ça plante, et l’ajouter, plutôt que d’oublier de blacklister quelque chose de sensible (et ne m’en rendre compte que trop tard).

    Attention à partager tout le /etc donc ... Il y a peut-être des mots de passe wifi, ou le /etc/shadow, ou autre données sensible dans les confs.

    Ceci est peut-être un bon début :

    --ro-bind /etc/alternatives /etc/alternatives \
    --ro-bind /etc/shells /etc/shells \
    --ro-bind /etc/services /etc/services \
    --ro-bind /etc/ld.so.cache /etc/ld.so.cache \
    --ro-bind /etc/nsswitch.conf /etc/nsswitch.conf \
    --ro-bind /etc/passwd /etc/passwd \
    --ro-bind /etc/group /etc/group \
    --ro-bind /etc/zshenv /etc/zshenv \
    --ro-bind /etc/zshrc /etc/zshrc \
    --ro-bind /etc/localtime /etc/localtime \
    

    Firejail a globalement beaucoup plus de fonctionnalités que bubblewrap (support de apparmor/seccomp, possibilité de faire du filtrage réseau, support natif de D-Bus)

    BubbleWrap aussi supporte seccomp. Je pense que bubblewrap a beaucoup de fonctionnalités aussi, mais il faut mettre les mains dedans...

    D'ailleurs, je conseillerais d'utiliser --new-session et --cap-drop ALL aussi