白名单一个目录，以便用火监狱执行。

Question

我如何白名单一个目录，以执行与火监狱？

特别是，我想在火狱中执行Firefox之夜。但我得到了以下错误：

$ firejail --profile=/etc/firejail/firefox.profile --whitelist=$HOME/software/firefox-nightly ./firefox
Reading profile /etc/firejail/firefox.profile
Reading profile /etc/firejail/whitelist-usr-share-common.inc
Reading profile /etc/firejail/firefox-common.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-exec.inc
Reading profile /etc/firejail/disable-interpreters.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Warning: networking feature is disabled in Firejail configuration file
Parent pid 769552, child pid 769553
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Post-exec seccomp protector enabled
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Child process initialized in 91.60 ms
Exec failed with error: Permission denied

并使用外壳进行测试：

$ firejail --profile=/etc/firejail/firefox.profile --whitelist=$HOME/software/firefox-nightly sh
[...]
$ ls -l firefox
-rwxr-xr-x 1 vinc17 vinc17 16928 2020-05-16 13:22:44 firefox
$ ./firefox
sh: 2: ./firefox: Permission denied

注意：/etc/firejail/disable-exec.inc有noexec ${HOME}。但是，在--ignore='noexec ${HOME}'之后添加firejail没有任何效果。将目录移动到/usr/local下也没有任何效果。

Answer 1

我也有同样的问题，所以我问消防监狱GitHub回购。以下是我收到的答复：

如果你想在家里执行软件，你需要ignore noexec ${HOME}和ignore apparmor。

cat > ~/.config/firejail/firefox-developer-edition.local <

对你来说，这条路会略有不同，我猜：

whitelist ${HOME}/software/firefox-nightly

参考文献：https://github.com/netblue30/firejail/issues/3794

Answer 2

我遇到了这个错误，并能够通过在/etc/firejail/firefox-common.profile中注释掉D1来解决这个问题。