비자유 및 오픈 소스 소프트웨어의 "완전한" 격리

비자유 및 오픈 소스 소프트웨어의 "완전한" 격리

오늘 제 질문은 시스템 전반의 프로그램 액세스 및 제어에 관한 것입니다. 저는 주로 소프트웨어 개발뿐만 아니라 일상적인 작업에도 Linux 배포판을 일상적인 드라이버로 사용합니다.

저는 FOSS의 아이디어를 정말 좋아하지만 개인적으로 추가 도구가 필요합니다. 이 예에서는 MS Teams를 그중 하나로 사용하겠습니다.

나는 GNU/Linux와 같은 운영 체제를 이해하지만 운영 체제가 어떻게 실행되는지 깊이 이해하지 못하는 단순한 사용자일 뿐이라는 점을 지적할 가치가 있습니다.

질문

Teams와 같은 애플리케이션이 있는 경우 이를 내 시스템에서 실행하되 "기능"을 제한할 수 있는 방법이 있나요? 이 경우:

  • 일반적으로 채팅이나 전화 통화를 할 수 있도록 Microsoft와 대화하는 것이 가능하도록 Teams를 샌드박싱하고 싶습니다(따라서 인터넷 액세스 + 마이크 액세스만 가능하고 내 파일이나 기타 필요하지 않은 항목에는 액세스할 수 없습니다).
  • 그런 다음 화면 공유를 허용해야 하는 경우도 있지만 화면 전송을 시작할 때마다 액세스 권한을 부여해야 합니다.
  • 비슷한 사례가 많은데, 다시 팀을 예로 들겠습니다...

이를 달성하는 데 도움이 되는 유틸리티가 이미 존재합니까? 아니면 아직 존재하지 않나요? 왜 안 돼?

귀하의 의견에 감사드립니다.

답변1

모래 상자

화재 감옥

마이크 액세스

내가 아는 한, 이 작업을 수행할 수 있는 도구는 없지만 앱의 pavucontrol에서 마이크를 음소거하고 필요할 때만 음소거를 해제할 수 있습니다.

MS 서버와만 대화

별도의 사용자( xhost/export DISPLAY=배포 및 호출에 따라 필요할 수 있음) 로 실행하고 iptables -O OUTPUT -d IP_ADDRESS --uid-owner $USERNAME/ 를 사용합니다 nftables add rule filter output meta skuid $USERNAME counter. 그런 다음 애플리케이션 수준 방화벽이 있지만 프로젝트가 버려진 것 같아서 작동하는지 확실하지 않습니다.https://github.com/Douane/

화면 공유를 허용해야 하지만 화면 전송을 시작할 때마다 액세스 권한을 부여해야 합니다.

AFAIK Linux에는 그러한 도구가 없습니다. X11 보안 모델을 사용하면 모든 애플리케이션이 언제든지 전체 화면을 캡처할 수 있습니다. 단, 다른 Xorg 서버( )로 실행할 수 있으며 Xorg :1, 이 경우 홈 화면( )에 접근할 수 없으나 :0화면 공유는 불가능하게 됩니다.

편집증이 있거나 걱정된다면 가상 머신(예: VirtualBox)에서 애플리케이션을 실행하는 것이 좋습니다. 호스트에서 애플리케이션을 완전히 격리하지만 화면을 공유할 수 없게 됩니다.

관련 정보