DOMANDA Firejail su Linux? flatpak? docker?

[pabloski]

ascolta come mettere la mod incognito lo so e senza entrare n dettagli che non mi competono, non fa la stessa cosa di sandboxie (questo è poco ma sicuro)che per altro dai primi messaggi mi pare aveste chiaro come funzionasse anche voi.

No, un momento. Hai visto cosa implementa Chrome per la sua sandbox? Se a questo aggiungi il blocco dell'accesso al filesystem del sistema, hai ottenuto la stessa cosa che fa sandboxie.

E anzi sandboxie installa una marea di hook su tutte le API Windows che riguardano l'accesso a filesystem e processi. Ma non hai nulla di equivalente ai namespace per nic di rete, pid, cgroup. E soprattutto manca completamente un sistema di filtraggio delle syscall, cosa che invece fa seccomp.

Quindi, ad essere precisi, la sandbox di default di Chromium fa molto di più rispetto a sandboxie. Manca solo la volatilà delle operazioni su filesystem, che è ottenuta tramite modalità incognito, che alla fin fine, setta il filesystem su ram invece che su disco.

non parliamo più di mod incognito perchè almeno su windows mod icognito e sandboxie sono due cose diverse, altrimenti non la usarebbe nessuno.

Su Windows 10 la musica è cambiata parecchio. E' stata addirittura implementata l'infrastruttura per istanziare virtual machine leggere, che sono alla base dei "container" Windows.

ma io voglio che tutto quello che faccio, una volta avviata la sandbox, oltre a restare nella sandbox, una volta che la chiudo, venga cancellato, è dal primo post che dico solo questo, senza offesa e grazie

Ed è quello che fa firejail con l'opzione --private.

io in una sandbox di sandboxie posso, con i dovuti permessi, installare un sw, tipicamente un browser, provarlo, chiudere la sandbox e quel sw non risulta più installato in windows (ma anche durante l'installazione non risulta manco installato in pannello di controllo -> programmi installati, in realtà)

Ed è la stessa cosa che puoi con firejail dandogli in pasto l'installer del programma.

E lo puoi fare ancora meglio con i container lxc/lxd. Anzi è questa la strada giusta per fare quello che chiedi.

Ma rimane la questione del perchè fare così, invece di usare flatpak. Se è la sicurezza che ti preme, con flatpak sei coperto. Se il problema è nascondere l'esistenza di alcuni programmi, allora tanto vale usare versioni portabili di questi programmi.

 

[PECman]

No, un momento. Hai visto cosa implementa Chrome per la sua sandbox? Se a questo aggiungi il blocco dell'accesso al filesystem del sistema, hai ottenuto la stessa cosa che fa sandboxie.

E anzi sandboxie installa una marea di hook su tutte le API Windows che riguardano l'accesso a filesystem e processi. Ma non hai nulla di equivalente ai namespace per nic di rete, pid, cgroup. E soprattutto manca completamente un sistema di filtraggio delle syscall, cosa che invece fa seccomp.

Quindi, ad essere precisi, la sandbox di default di Chromium fa molto di più rispetto a sandboxie. Manca solo la volatilà delle operazioni su filesystem, che è ottenuta tramite modalità incognito, che alla fin fine, setta il filesystem su ram invece che su disco.



Su Windows 10 la musica è cambiata parecchio. E' stata addirittura implementata l'infrastruttura per istanziare virtual machine leggere, che sono alla base dei "container" Windows.



Ed è quello che fa firejail con l'opzione --private.



Ed è la stessa cosa che puoi con firejail dandogli in pasto l'installer del programma.

E lo puoi fare ancora meglio con i container lxc/lxd. Anzi è questa la strada giusta per fare quello che chiedi.

Ma rimane la questione del perchè fare così, invece di usare flatpak. Se è la sicurezza che ti preme, con flatpak sei coperto. Se il problema è nascondere l'esistenza di alcuni programmi, allora tanto vale usare versioni portabili di questi programmi.

ok grazie proverò

ma non ho nessun problema a usare flatpak, avevo già visto ieri video e foto di Emanuele, ma non ho capito dove hai visto la voce della non persistenza dei cambiamenti. lui nell'ultimo post mi pare mi abbia anzi detto di creare uno script o altro.
@EmanueleC in flatpak c'è un pulsante o un toggle che ti permetta di togliere la persistenza dei combiamenti a un sw o una sandbox?

comuque mi è venuto questo dubbio: forse a volte non ci siamo capiti perchè quando io pensavo ai permessi in cartelle o altro in sandboxie, mi riferivo ai permessi da dare a tutta una intera sandbox, non ad un singolo sw, ciòè in una sandbox di sandboxie puoi aprire più cose, non solo un browser, per esempio un programma scaricato dal browser e provarlo.

a me interessa per quello: scarico qualcosa mentre navigo? resta nella sandbox, non mi piace? chiudo e sparisce; un sw malevolo su qualche sito mi installa qualcosa di malevolo nel browser o apporta modifiche a browser? chiudo e il browser è come prima. a questo mi serve sandboxie, questo voglio fare, nient'altro.

comunque ora devo concentrarmi su altro, tornerò a giocare con linux tra 1-2 settimane

grazie

 

[pabloski]

ma non ho capito dove hai visto la voce della non persistenza dei cambiamenti.

Non c'è, ma c'è la possibilità di bloccare l'accesso alle directory dove i cambiamenti persistenti vengono salvati.

lui nell'ultimo post mi pare mi abbia anzi detto di creare uno script o altro.

E' un'ulteriore possibilità. C'è pure la possibilità di creare un intero sistema stateless, creando un'immagine a sola lettura su cui appiccicare un overlay in ram.

comuque mi è venuto questo dubbio: forse a volte non ci siamo capiti perchè quando io pensavo ai permessi in cartelle o altro in sandboxie, mi riferivo ai permessi da dare a tutta una intera sandbox, non ad un singolo sw, ciòè in una sandbox di sandboxie puoi aprire più cose, non solo un browser, per esempio un programma scaricato dal browser e provarlo.

Flatpak è un metodo per distribuire programmi, innanzitutto. Siccome dovevano cambiare tutto, hanno ben pensato di introdurre il sandboxing delle applicazioni. Ma ovvio che avvii la singola applicazione nella sandbox, non crei un sistema operativo parallelo.

Con firejail potresti farlo, avviando una shell, da cui poi eseguire altri programmi. Ma chiaramente non è fattibile in maniera banale.

E la soluzione ufficiale, in questi casi, è usare i container ( LXC/LXD ).

a me interessa per quello: scarico qualcosa mentre navigo? resta nella sandbox, non mi piace? chiudo e sparisce; un sw malevolo su qualche sito mi installa qualcosa di malevolo nel browser o apporta modifiche a browser? chiudo e il browser è come prima. a questo mi serve sandboxie, questo voglio fare, nient'altro.

Esattamente il tipo di scenario da container. O, per maggiore sicurezza, da macchina virtuale.

Hai presente Docker? E' esattamente una sandbox che crea un sistema operativo parallelo, in cui eseguire tutti i programmi che vuoi. E i dati possono essere sia registrati su disco, che in memoria ram ( nel qual caso sono persi appena si chiude la sandbox ).

 

[PECman]

Non c'è, ma c'è la possibilità di bloccare l'accesso alle directory dove i cambiamenti persistenti vengono salvati.



E' un'ulteriore possibilità. C'è pure la possibilità di creare un intero sistema stateless, creando un'immagine a sola lettura su cui appiccicare un overlay in ram.



Flatpak è un metodo per distribuire programmi, innanzitutto. Siccome dovevano cambiare tutto, hanno ben pensato di introdurre il sandboxing delle applicazioni. Ma ovvio che avvii la singola applicazione nella sandbox, non crei un sistema operativo parallelo.

Con firejail potresti farlo, avviando una shell, da cui poi eseguire altri programmi. Ma chiaramente non è fattibile in maniera banale.

E la soluzione ufficiale, in questi casi, è usare i container ( LXC/LXD ).



Esattamente il tipo di scenario da container. O, per maggiore sicurezza, da macchina virtuale.

Hai presente Docker? E' esattamente una sandbox che crea un sistema operativo parallelo, in cui eseguire tutti i programmi che vuoi. E i dati possono essere sia registrati su disco, che in memoria ram ( nel qual caso sono persi appena si chiude la sandbox ).

è che io preferivo una cosa tip sandboxie perchè non ho l'hw per una macchina virtuale ed è più immediata.

cercherò cosa sia docker grazie
--- i due messaggi sono stati uniti ---

Non c'è, ma c'è la possibilità di bloccare l'accesso alle directory dove i cambiamenti persistenti vengono salvati.

se si tratta di mettere o toglire una spunta in un box come ho visto in firejail, può andare bene, però va cambiato ogni volta in base a cosa ti serve giusto?

ma quindi con flatpak viene, diciamo, combiato il centro sw giusto? e i sw che ho già installati che fine fanno? sono anche loro sandboxati in flatpak o no?

c'è modo di creare doppioni? cioè un browser normale e uno con flatpak dove tolgo l'accesso per sempre alla directory delle persistenze

 

[pabloski]

cercherò cosa sia docker

Oppure LXD.

se si tratta di mettere o toglire una spunta in un box come ho visto in firejail

E' quell'immagine postata da EmanueleC, ma bisogna almeno avere un minimo di dimestichezza col filesystem di Linux e sapere dove l'applicazione va a memorizzare i suoi dati.

Non è agevole. E questo perchè Flatpak non è stato pensato per "nascondere" i dati.

può andare bene, però va cambiato ogni volta in base a cosa ti serve giusto?

Altro problema.

ma quindi con flatpak viene, diciamo, combiato il centro sw giusto? e i sw che ho già installati che fine fanno? sono anche loro sandboxati in flatpak o no?

Le impostazioni flatpak riguardano le singole applicazioni. E si possono modificare per singola applicazione.

c'è modo di creare doppioni? cioè un browser normale e uno con flatpak dove tolgo l'accesso per sempre alla directory delle persistenze

Si può creare un altro package flatpak, con un nome un pò diverso. Ma ripeto, Flatpak è nato per distribuire il software in maniera più semplice, non per switchare dinamicamente tra persistenza e non persistenza. C'è un altro tool, chiamato Bubblewrap, che è basato su flatpak e implementa il sandboxing stile firejail https://wiki.archlinux.org/index.php/Bubblewrap

Firejail invece è pensato proprio per questo. L'unico problema è che non ha una GUI facile per configurarlo. Anche se si può eseguire il comando "sudo firecfg" ogni volta che s'installa una nuova applicazione e si avrà la possibilità di farla partire con firejail automaticamente.

 

[PECman]

Oppure LXD.



E' quell'immagine postata da EmanueleC, ma bisogna almeno avere un minimo di dimestichezza col filesystem di Linux e sapere dove l'applicazione va a memorizzare i suoi dati.

Non è agevole. E questo perchè Flatpak non è stato pensato per "nascondere" i dati.



Altro problema.



Le impostazioni flatpak riguardano le singole applicazioni. E si possono modificare per singola applicazione.



Si può creare un altro package flatpak, con un nome un pò diverso. Ma ripeto, Flatpak è nato per distribuire il software in maniera più semplice, non per switchare dinamicamente tra persistenza e non persistenza. C'è un altro tool, chiamato Bubblewrap, che è basato su flatpak e implementa il sandboxing stile firejail https://wiki.archlinux.org/index.php/Bubblewrap

Firejail invece è pensato proprio per questo. L'unico problema è che non ha una GUI facile per configurarlo. Anche se si può eseguire il comando "sudo firecfg" ogni volta che s'installa una nuova applicazione e si avrà la possibilità di farla partire con firejail.

ma neanche sandboxie arriva come la voglio io, ho scelto io a quali cartelle farla accedere, per esempio no doc, immagini ecc e impostare la non persistenza.

comunque ho installato flatpak seguendo questa guida in basso, con l'integrazione nel centro sw, che mi è parso lo stesso obiettivo di @EmanueleC (dico così perchè non sono riuscito a leggere tutti i comandi nel terminale del video) https://wiki.ubuntu-it.org/AmministrazioneSistema/InstallareProgrammi/PacchettiFlatpak e ho scoperto che per pochi cambia la sorgente da snap o altro in flatpak

 

[EmanueleC]

ma quindi con flatpak viene, diciamo, combiato il centro sw giusto? e i sw che ho già installati che fine fanno? sono anche loro sandboxati in flatpak o no?

c'è modo di creare doppioni? cioè un browser normale e uno con flatpak dove tolgo l'accesso per sempre alla directory delle persistenze

Le applicazioni già installate con il package manager (classico) rimangono, se installi flatpak e aggiungi lo store flathub, avrai la possibilità di scegliere la fonte (deb o flathub).
Puoi installare ad esempio Firefox da flathub: flatpak install firefox
Dai repository con APT in modo classico dove ha accesso all'intero filesystem: sudo apt install firefox

Per la lista delle app flatpak installate: flatpak list
Per avviare un APP flatpak da cli (devi copiare il suo ID): flatpak run org.mozilla.firefox
L'applicazione flatpak viene installata e confinata su /var/lib/flatpak/app/, le configurazioni delle APP flatpak ed è quello che sembra a te interessa rimuovere si trovano sulla home del tuo utente .var/app/, rimossa la cartella dell'APP che ti interessa rimuovere, ritorna come appena installata.
Per la gestione dei permessi installa da flathub, flatseal.
Puoi avviare, installare e rimuovere le APP flatpak anche dal software center, basta controllare su "Dettagli" il sorgente se viene da flathub o da repository:

 

[PECman]

ma neanche sandboxie arriva come la voglio io, ho scelto io a quali cartelle farla accedere, per esempio no doc, immagini ecc e impostare la non persistenza.

comunque ho installato flatpak seguendo questa guida in basso, con l'integrazione nel centro sw, che mi è parso lo stesso obiettivo di @EmanueleC (dico così perchè non sono riuscito a leggere tutti i comandi nel terminale del video) https://wiki.ubuntu-it.org/AmministrazioneSistema/InstallareProgrammi/PacchettiFlatpak e ho scoperto che per pochi cambia la sorgente da snap o altro in flatpak

Le applicazioni già installate con il package manager (classico) rimangono, se installi flatpak e aggiungi lo store flathub, avrai la possibilità di scegliere la fonte (deb o flathub).
Puoi installare ad esempio Firefox da flathub: flatpak install firefox
Dai repository con APT in modo classico dove ha accesso all'intero filesystem: sudo apt install firefox

Per la lista delle app flatpak installate: flatpak list
Per avviare un APP flatpak da cli (devi copiare il suo ID): flatpak run org.mozilla.firefox
L'applicazione flatpak viene installata e confinata su /var/lib/flatpak/app/, le configurazioni delle APP flatpak ed è quello che sembra a te interessa rimuovere si trovano sulla home del tuo utente .var/app/, rimossa la cartella dell'APP che ti interessa rimuovere, ritorna come appena installata.
Per la gestione dei permessi installa da flathub, flatseal.
Puoi avviare, installare e rimuovere le APP flatpak anche dal software center, basta controllare su "Dettagli" il sorgente se viene da flathub o da repository:
Visualizza allegato 378830

dal tuo video ho aggiunto il comando purge snapd che mancava nella guida di ubuntu, ma ancora nello store non campare flat come sorgente (si sto guardando lì è chiaro) in tutte le app, solo in alcune, pure poche, scegliendole a caso tra le proposte, è normale?
--- i due messaggi sono stati uniti ---
ho ovviamente riavviato gnome sw e ha fatto vedere che scaricava i metadata di flat

 

[EmanueleC]

dal tuo video ho aggiunto il comando purge snapd che mancava nella guida di ubuntu, ma ancora nello store non campare flat come sorgente (si sto guardando lì è chiaro) in tutte le app, solo in alcune, pure poche, scegliendole a caso tra le proposte, è normale?
--- i due messaggi sono stati uniti ---
ho ovviamente riavviato gnome sw e ha fatto vedere che scaricava i metadata di flat

Adesso cerca dal software center l'app che vuoi e la installi, guarda la fonte prima di installarla, a volte nel software center vengono mostrate doppioni, in questo caso seleziona l'applicazione e controlla su dettagli > sorgenti per capire la fonte, in molti altri casi mostra un singolo risultato e da li scegli il sorgente, vedi screenshot sotto.

 

[PECman]

Adesso cerca dal software center l'app che vuoi e la installi, guarda la fonte prima di installarla, a volte nel software center vengono mostrate doppioni, in questo caso seleziona l'applicazione e controlla su dettagli > sorgenti per capire la fonte, in molti altri casi mostra un singolo risultato e da li scegli il sorgente, vedi screenshot sotto.
Visualizza allegato 378833

ma vorrei capire questa cosa: tutte le app ora si possono installare da sorgente flat? o solo alcune? ricordo che sono su lubuntu, se cambia qualcosa.

ah @pabloski io sono a 32 bit, docker solo 64 https://docs.docker.com/engine/install/ubuntu/
--- i due messaggi sono stati uniti ---

Adesso cerca dal software center l'app che vuoi e la installi, guarda la fonte prima di installarla, a volte nel software center vengono mostrate doppioni, in questo caso seleziona l'applicazione e controlla su dettagli > sorgenti per capire la fonte, in molti altri casi mostra un singolo risultato e da li scegli il sorgente, vedi screenshot sotto.
Visualizza allegato 378833

su lubuntu non ho la tua visualizzazione, però ho capito: se cerco il nome dell'app ma la propone sia "standard" che da flat, se invece guardo quelle in vetrina, solo in alcune scrive flat, e non c'è nulla dove cliccare per cambiare sorgente, per avere entrambe le sorgenti devo per forza cercarle tramite cerca



comunque capito, grazie mille
--- i due messaggi sono stati uniti ---
ah no aspetta, forse flathub lo devo ancora installare, pensavo si installasse in automatico con la procedura del tuo video
--- i due messaggi sono stati uniti ---
succede questo provando ad installare flatseal

f@fnote:~$ flatpak install flathub com.github.tchx84.Flatseal
error: Error searching remote flathub: Can't find ref com.github.tchx84.Flatseal

 

[EmanueleC]

ma vorrei capire questa cosa: tutte le app ora si possono installare da sorgente flat? o solo alcune? ricordo che sono su lubuntu, se cambia qualcosa.

ah @pabloski io sono a 32 bit, docker solo 64 https://docs.docker.com/engine/install/ubuntu/
--- i due messaggi sono stati uniti ---


su lubuntu non ho la tua visualizzazione, però ho capito: se cerco il nome dell'app ma la propone sia "standard" che da flat, se invece guardo quelle in vetrina, solo in alcune scrive flat, e non c'è nulla dove cliccare per cambiare sorgente, per avere entrambe le sorgenti devo per forza cercarle tramite cerca

Visualizza allegato 378836

comunque capito, grazie mille
--- i due messaggi sono stati uniti ---
ah no aspetta, forse flathub lo devo ancora installare, pensavo si installasse in automatico con la procedura del tuo video
--- i due messaggi sono stati uniti ---
succede questo provando ad installare flatseal

f@fnote:~$ flatpak install flathub com.github.tchx84.Flatseal
error: Error searching remote flathub: Can't find ref com.github.tchx84.Flatseal

flathub è già installato, se vedi su Blender ti mostra anche la versione da flathub "Sorgente: dl.flathub.org. Sul software center i software vengono mostrati misti, cioè sia da sorgenti flathub che da repository.
Da quel center cerca flatseal, se non ti mostra risultato vuol dire che non è disponibile a 32bit, 32bit ormai non viene più supportato da nessuno.

 

[PECman]

allora ho provato ad installarlo facendo il download da qui https://flathub.org/apps/details/com.github.tchx84.Flatseal

ma il risultato è questo


--- i due messaggi sono stati uniti ---

flathub è già installato, se vedi su Blender ti mostra anche la versione da flathub "Sorgente: dl.flathub.org. Sul software center i software vengono mostrati misti, cioè sia da sorgenti flathub che da repository.
Da quel center cerca flatseal, se non ti mostra risultato vuol dire che non è disponibile a 32bit, 32bit ormai non viene più supportato da nessuno.

non c'è, peccato
--- i due messaggi sono stati uniti ---
in realtà non riesco ad installare neanche da terminale, col comando che hai suggerito, esempio:

~$ flatpak install blender
Usage:
  flatpak install [OPTION…] LOCATION/REMOTE [REF...] - Install applications or runtimes

Help Options:
  -h, --help              Show help options

Application Options:
  --user                  Work on user installations
  --system                Work on system-wide installations (default)
  --installation=NAME     Work on specific system-wide installation(s)
  --arch=ARCH             Arch to install for
  --no-pull               Don't pull, only install from local cache
  --no-deploy             Don't deploy, only download to local cache
  --no-related            Don't install related refs
  --no-deps               Don't verify/install runtime dependencies
  --no-static-deltas      Don't use static deltas
  --runtime               Look for runtime with the specified name
  --app                   Look for app with the specified name
  --bundle                Assume LOCATION is a .flatpak single-file bundle
  --from                  Assume LOCATION is a .flatpakref application description
  --gpg-file=FILE         Check bundle signatures with GPG key from FILE (- for stdin)
  --subpath=PATH          Only install this subpath
  -y, --assumeyes         Automatically answer yes for all questions
  --reinstall             Uninstall first if already installed
  -v, --verbose           Print debug information during command processing, -vv for more detail
  --ostree-verbose        Print OSTree debug information during command processing

error: REMOTE and REF must be specified

--- i due messaggi sono stati uniti ---
Ok in realtà il comando per installare deve essere tipo

flatpak install flathub org.mozilla.firefox

Flathub—An app store and build service for Linux

Find and install hundreds of apps and games for Linux. Enjoy GIMP, GNU Octave, Spotify, Steam and many more!

flathub.org

--- i due messaggi sono stati uniti ---
aggiornamento:

ho voluto provare ad installare ff anche da flathub, avevo già il "classico", dando il comando da sito ufficiale flatpak install flathub org.mozilla.firefox

ma il risultato è stato questo:

$ flatpak install flathub org.mozilla.firefox
error: Error searching remote flathub: Can't find ref org.mozilla.firefox

allora ho provato a installare un'altro sw a caso, spotify, sempre con comando da sito ufficile flatpak install flathub com.spotify.Client

e il risultato è stato questo

flatpak install flathub com.spotify.Client
Required runtime for com.spotify.Client/i386/stable (runtime/org.freedesktop.Platform/i386/18.08) found in remote flathub
Do you want to install it? [y/n]: y
Installing in system:
org.freedesktop.Platform/i386/18.08              flathub 92d702fced84
org.freedesktop.Platform.Locale/i386/18.08       flathub b5dbe95a90ff
org.freedesktop.Platform.html5-codecs/i386/18.08 flathub 964e29f63869
com.spotify.Client/i386/stable                   flathub 4d56fc878b27
  permissions: ipc, network, pulseaudio, x11, dri
  file access: xdg-music:ro, xdg-pictures:ro
  dbus access: org.freedesktop.Notifications, org.gnome.SessionManager, org.gnome.SettingsDaemon
  dbus ownership: org.mpris.MediaPlayer2.spotify
  tags: proprietary
Is this ok [y/n]: y
Installing: org.freedesktop.Platform/i386/18.08 from flathub
[####################] 786 metadata, 12300 content objects fetched; 285882 KiB t
error: Failed to install org.freedesktop.Platform/i386/18.08: Error deploying: While trying to checkout 92d702fced842f67066e3144d64babb0e640bd60dda95cd7e6dc275d116f3125 into /var/lib/flatpak/runtime/org.freedesktop.Platform/i386/18.08/.92d702fced842f67066e3144d64babb0e640bd60dda95cd7e6dc275d116f3125-GQNZM0: Opening content object e34ded4b720f5bc4caa72be98f14924b33be322d3adaee5072bb8a7af0f9737a: Couldn't find file object 'e34ded4b720f5bc4caa72be98f14924b33be322d3adaee5072bb8a7af0f9737a'

dal centro sw però sono riuscito ad installare un'altra app a caso, calibre.



ora, senza offesa per nessuno, ho fatto esperienza, visto un po' di cose che terrò in considerazione quando metterò linux su macchine più potenti, ma visto che, come abbiamo visto ieri, flatpak non è completamente compatibile con il mio hw, ho deciso di rimuoverlo.

allora ho dato sudo apt purge flatpack, poi il solito autoremove ma mi sono accorto che non ha tolto tutto restano varie cartelle in giro e c'era pure un processo attivo che ho terminato.
se c'è una cosa in cui linux è stra meglio di windows è rimovere cose senza lasciare "sporicizia" negli angoli, quindi come faccio a rimovere tutti i residui di flatpak? @EmanueleC @pabloski , se avete tempo

ah ho reinstallato quindi snapd come da guida sul loro sito

grazie ancora

 

[PECman]

sembra sia riuscito da terminale a rimuovere quelle cartelle, spero non mi sia sfuggito altro che non compaia cercando "flatpak" nel file system
--- i due messaggi sono stati uniti ---
comunque alla fine ho rimesso firejail e, come si diceva su, chiuderà l'accesso alla cartella home