Stworzenie konta usera ze szczególnymi prawami java+przeglądarka

[xc1256]

Nie za bardzo wiem, jak zrobić w systemie aby, java była tylko zainstalowana dla jednego usera , powiedzmy o nazwie java i ten user będzie mógł korzystać z jej dobrodziejstw w przeglądarce.
User ten nie będzie ani root-em ani innym użytkownikiem o prawach root-a, będzie użytkownikiem z ograniczonymi uprawnieniami. Nie chcę aby java zainstalowała się domyślnie dla całego systemu, tak aby inni użytkownicy jak i root mogli z niej korzystać.
Jak to można zrobić ?

[jacekalex]

Zacznij czytywać swoje wątki...

Poza tym, nie trzeba koniecznie osobnego konta, można poszaleć z profilem apparmora dla do Firefoxa i Plugin-containera.

Do Chrome i Opery też można zrobić odpowiednie profile.

To by było na tyle

[xc1256]

Dziękuje za podpowiedź ale dla mnie najlepszym sposobem całkowitego odseparowania java od systemu będzie postawienie małego linuxa w VirtualBox i tam zainstalowanie javy

[jacekalex]

A nie lepiej drugi komputer?
Wirtualki mają tą wadę, że generują mocne obciążenie, zapotrzebowanie X mocy obliczeniowej procka na Vboxie, to 1,3 - 2,5X na kompie gospodarza.
Bardzo nieekonomiczne rozwiązanie.

W Linuxie masz Selinux, Apparmor, Tomoyo i Grsecurity-ACL, do wyboru, do koloru.
Np Grsec ze zwykłego chroota pozwala zrobić środowisko twardsze od niejednej wirtualki.

Kod: Zaznacz cały

~> sysctl -a | grep chroot
kernel.grsecurity.chroot_caps = 1
kernel.grsecurity.chroot_deny_chmod = 1
kernel.grsecurity.chroot_deny_chroot = 1
kernel.grsecurity.chroot_deny_fchdir = 1
kernel.grsecurity.chroot_deny_mknod = 1
kernel.grsecurity.chroot_deny_mount = 1
kernel.grsecurity.chroot_deny_pivot = 1
kernel.grsecurity.chroot_deny_shmat = 1
kernel.grsecurity.chroot_deny_sysctl = 1
kernel.grsecurity.chroot_deny_unix = 1
kernel.grsecurity.chroot_enforce_chdir = 1
kernel.grsecurity.chroot_execlog = 0
kernel.grsecurity.chroot_findtask = 1
kernel.grsecurity.chroot_restrict_nice = 1

I tyle w temacie.