$ cat /var/log/pacman.log | grep firewall-config [2026-02-04T12:20:44+0800] [ALPM-SCRIPTLET] - firewall-config: Graphical user interface for firewallD [2026-02-10T18:01:16+0800] [PACMAN] Running '/usr/bin/pacman -S firewall-config' [2026-02-10T18:01:19+0800] [ALPM] installed firewall-config (2.4.0-6) 好像没有记录我删除firewall-config的事项

linux qq没事就行

看看 pacman.log

我对与删除firewall-config这件事完全没有一丁点的音响……

[m.image] 这一点还是太难做到了……

没了？？？？？

我firewall-config这个包呢？

不对

你reboot一下呢

我把NetworkManager卸载了也没法启动图形界面了？？？

不对

按理说是不应该的，不过我没用过 firewalld（ 看看日志？

话说Firewalld和NetworkManager是由冲突还是啥吗？我安装了NetworkManager之后就打不开Firewalld的图形化窗口了。

相关 issue https://github.com/swaywm/sway/issues/2333

不过它也不能决定暴露或隐藏某些协议，只是给 ipc 提供了沙箱信息 https://github.com/swaywm/sway/pull/8521

你看看你上面一条在说什么

别再发了……

[m.image] image.jpeg

其实我觉得 security context 协议本该设计成类似 Linux unshare 那样的东西

* sway 配置文件可以针对 security context 做一些配置

sway 配置文件可以做一些配置

目前还没有可移植的办法

（其实剪贴板同步这种事我觉得本来应该 Xwayland 自己做的

话说对支持的混成器，可以配置把某些特权 wayland 协议传到沙盒里面吗？

谢谢 pacman可以用了

谢谢 pacman可以用了

既然在用了那肯定是不得不用 🥲

至少记得前段时间 kwin 应该修了

Mutter 那 focus stealing prevention 至今还在吵

解决方法：不用微信（

https://github.com/flathub/com.qq.QQ/pull/225

嗯，就是 hack

那感觉还是不太合适

窃取焦点本身就是安全漏洞

这种属于 hack，我记得窃取焦点不是已经修了么

但是我觉得这不是很优雅, 而且容易出莫名其妙的问题

wl-paste 这种透明窗口大概也可以

如果能接受每次启动弹个是否允许远程控制的框的话可能能搞

那我没研究过

啊，是这样吗

不是，是剪贴板。我的意思是用一个沙盒内 daemon（实际上相当于剪贴板管理器）去监听剪贴板

这玩意是和 remote desktop portal 联动的

那个 PR 是我写的（主要脚本最开始是 LLM 生成的），还没被合并

FileTransfer 吗, 微信不用啊

原来是这样

说起来 x-d-p 我记得是有剪贴板 portal 的，理论上沙盒内做一个剪贴板管理器去把沙盒内的剪贴板转发给这个 portal 就行？不过 x-d-p-gtk 没实现这个剪贴板 portal，不太清楚有没有谁实现了

Steam Input 需要

防止沙盒里的应用生成虚拟输入设备影响 host

问题是要有完善的文档吧 (

这是在什么情况下用的

说起来我最近看到有人做了 uinput 的 wrapper, 打算集成进 Portable 的游戏模式

但我觉得搓一个的难度应该比搓 portable 本身要小很多

暂时没有（

那这个 proxy 有成熟并 universal 的方案吗 (

我记得 flatpak qq 好像有类似的操作

如果有个 proxy（其实可以是剪贴板管理器）来转发剪贴板操作就行了

剪贴板炸掉还是不行

X11 那是屎山了, 我不是很想去弄塌

X11 防不住，Xwayland 的话如果有任意一个 Xwayland 窗口处于焦点那就可以

起计算器只是表明沙盒内 RCE 成功，但不意味着突破沙盒

但是数据文件屏蔽了也就问题不大了，最多泄露你系统上安装了些什么程序的信息

能起什么都正常, 里面看不到外面才是重要的

因为 /usr/bin 没屏蔽吧

是啊... 不过正常 compositor 应该是不会允许后台获取按键的吧

诶那为什么计算器能起来

但是那样剪贴板和拖放之类的都不好搞

沙盒里跑 xwayland-run（

那怎么办, linuxqq-portable 就能不漏但微信不行 (

但是 X11 socket 是漏的（

你看 /usr/lib/portable/overlay-usr 下面全都是假的 stub

Dolphin 就起不来了

原来是这样

呼叫 FileManager1 起真 Nautilus

沙盒里的 nautilus 是假的

能解析shell的话，感觉能用些符号……？

* 先发个脚本过去，再运行它？不过收到的文件应该没有可执行权限吧

先发过脚本过去，再运行它？不过收到的文件应该没有可执行权限吧

$IFS

不能带空格的话，文件应该也出不去吧

* 你试试 killall nautilus 一下再看

所以我说不知道怎么弄嘛 🥲

你试试 killall 一下再看

这真不是启动了已有的 nautilus 吗...

用 `nautilus`.txt 可以起来一个能逃逸沙盒的 nautilus

如果拿不到沙盒外的数据，就说明沙盒有用啊——是说判断沙盒有没有用，不是说漏洞有没有危害

不知道怎么弄，好像带空格的命令运行不了

这要怎么测试

能罢，curl 一下...

而且能窃取微信自己的内容就很严重了

能起来就挺严重了，毕竟 linux 的提权漏洞也挺多，sandbox 只是纵深防御）

以及能不能 rm ~/*（

* 重点不是计算器能不能起来，而是你的 ~/.ssh/id_* 和 cookies.sqlite 能不能出去

重点不是计算器能不能起来，而是你的 ~/.ssh/id_* 和 cookes.sqlite 能不能出去

我用沙盒测试下来是能起来计算器

[m.image] Forwarded from channel 🍀 Clover Said...: > 微信你牛大了

谁也试试？

aur/wechat 好像对这个没有帮助

之前也提过来着

说实话应该用 heisenbridge，这样 matrix 下是多个用户而不是一个用户

把桥的 power level 改得比 bot 高就行