最近几年时常在 X 上看到各种币圈被盗、隐私泄漏新闻,就想着给关键数据加个访问控制,以及把 QQ 之类的闭源软件全部丢进沙箱里跑,但搜索发现相关资料挺少的,所以想了解下各位 V2 网友是怎么做 Linux 安全加固的。
我主力电脑是 NixOS ,桌面用的 Hyprland ,硬盘采用了 Btrfs + LUKS 全盘加密 + Secure Boot ,目前在探索尝试的系统加固配置如下:
https://github.com/ryan4yin/nix-config/tree/nixos-hardening/hardening
另外我年初也基于自己的折腾经验写过篇搞数据安全的文章,欢迎各位交流讨论。
https://thiscute.world/posts/an-incomplete-guide-to-data-security/
1
ryan4yin OP 比较理想的可能是做到类似现在 Android/IOS 那种细粒度的 APP 权限控制,bubblewrap 能做到类似的效果,但是要慢慢调试,还挺麻烦的。
|
2
ryan4yin OP firejail 有很多现成的配置能用,比较方便,但又被很多人喷它的设计有安全问题,不太敢用。
|
3
amber0317 98 天前
试试 flatpak ?我也是 NixOS ,对于不干净的桌面软件直接丢进 flatpak 限制进沙箱处理了。
劣势就是占用空间大点,然后不够 native ( |
4
ryan4yin OP @amber0317 flatpak 主要是不够声明式,不过装个 QQ 确实 OK ,我最近在整的 nixpak 也是用了 flatpak 的 bubblewrap ,更可控些,缺点就是配置起来很麻烦。
我再折腾下吧,如果不好搞就换成 flatpak |
5
cnt2ex 97 天前
flatpak 就有一定的沙箱功能,并且还可以通过 flatpak override 来修改默认人配置(或者使用 flatseal 图形界面工具)
flathub 里也有别人打包好的 QQ 和 telegram 。比如 QQ: https://github.com/flathub/com.qq.QQ/blob/master/com.qq.QQ.yaml 文件系统相关的部分只开放了 --filesystem=xdg-download --filesystem=xdg-run/pipewire-0 --filesystem=/tmp 这 3 个地方 所以 flatpak 版的 QQ ,除非 QQ 偷偷地搞什么沙箱逃逸之类行为,默认是读取不到这几个以外的地方的。 |