From f0dc85e60e495511bbeba521edc8749d3e81dc38 Mon Sep 17 00:00:00 2001 From: "Kelvin M. Klann" Date: Sat, 9 Dec 2023 16:58:38 -0300 Subject: landlock: sort --landlock commands Relates to #6078. --- src/firejail/landlock.c | 29 +++++++++++++++++------------ 1 file changed, 17 insertions(+), 12 deletions(-) diff --git a/src/firejail/landlock.c b/src/firejail/landlock.c index 157c0ba4c..eadce2d97 100644 --- a/src/firejail/landlock.c +++ b/src/firejail/landlock.c @@ -213,31 +213,36 @@ int ll_basic_system(void) { ll_read("/") || // whole system read ll_special("/") || // sockets etc. - ll_write("/tmp") || // write access - ll_write("/dev") || - ll_write("/run/shm") || + // write access ll_write("${HOME}") || ll_write("${RUNUSER}") || + ll_write("/dev") || + ll_write("/run/shm") || + ll_write("/tmp") || - ll_exec("/opt") || // exec access + // exec access + /// misc + ll_exec("/opt") || + ll_exec("/run/firejail") || // appimage and various firejail features + /// bin ll_exec("/bin") || ll_exec("/sbin") || + ll_exec("/usr/bin") || + ll_exec("/usr/sbin") || + ll_exec("/usr/games") || + ll_exec("/usr/local/bin") || + ll_exec("/usr/local/sbin") || + ll_exec("/usr/local/games") || + /// lib ll_exec("/lib") || ll_exec("/lib32") || ll_exec("/libx32") || ll_exec("/lib64") || - ll_exec("/usr/bin") || - ll_exec("/usr/sbin") || - ll_exec("/usr/games") || ll_exec("/usr/lib") || ll_exec("/usr/lib32") || ll_exec("/usr/libx32") || ll_exec("/usr/lib64") || - ll_exec("/usr/local/bin") || - ll_exec("/usr/local/sbin") || - ll_exec("/usr/local/games") || - ll_exec("/usr/local/lib") || - ll_exec("/run/firejail"); // appimage and various firejail features + ll_exec("/usr/local/lib"); if (error) { fprintf(stderr, "Error: %s: failed to set --landlock rules\n", -- cgit v1.2.3-70-g09d2