На этот вопрос уже есть ответ здесь:
I хотите разрешить гостю читать файлы только на моем жестком диске (смонтированном во время запуска в / mnt / blahblahblah). Однако я не хочу, чтобы в него что-то писали. Я использую Xubuntu 16.04. Как это сделать?
Гостевые сессии заблокированы вниз с помощью AppArmor, который использует длинный список специальных полномочий помешать гостевым пользователям касаться чего-либо. К ним получают доступ от etc/apparmor.d/lightdm-guest-session
.
На моей машине, тот файл похож на это:
# Profile for restricting lightdm guest session
#include <tunables/global>
/usr/lib/lightdm/lightdm-guest-session {
# Most applications are confined via the main abstraction
#include <abstractions/lightdm>
# chromium-browser needs special confinement due to its sandboxing
#include <abstractions/lightdm_chromium-browser>
}
Открытие той "основной абстракции" (etc/apparmor.d/abstractions/lightdm
) дает что-то более интересное:
...
/ r,
/bin/ rmix,
/bin/fusermount Px,
/bin/** rmix,
/cdrom/ rmix,
/cdrom/** rmix,
/dev/ r,
/dev/** rmw, # audio devices etc.
owner /dev/shm/** rmw,
/etc/ r,
/etc/** rmk,
...
Это все каталоги, к которым ограниченная сессия может получить доступ, наряду с их полномочиями. Если Вы добавите свой жесткий диск к тому списку (с запаздыванием /**
для включения всех подпапок, и r
для разрешения чтения), то все будущие гостевые сессии будут иметь доступ только для чтения к нему.