使用 Apparmor Bubblewrap 保护浏览器 cookie、限制 QQ/TG 访问权限，有参考资料吗？

最近几年时常在 X 上看到各种币圈被盗、隐私泄漏新闻，就想着给关键数据加个访问控制，以及把 QQ 之类的闭源软件全部丢进沙箱里跑，但搜索发现相关资料挺少的，所以想了解下各位 V2 网友是怎么做 Linux 安全加固的。

我主力电脑是 NixOS ，桌面用的 Hyprland ，硬盘采用了 Btrfs + LUKS 全盘加密 + Secure Boot ，目前在探索尝试的系统加固配置如下：

https://github.com/ryan4yin/nix-config/tree/nixos-hardening/hardening

另外我年初也基于自己的折腾经验写过篇搞数据安全的文章，欢迎各位交流讨论。

https://thiscute.world/posts/an-incomplete-guide-to-data-security/

cnt2ex

flatpak 就有一定的沙箱功能，并且还可以通过 flatpak oferride 来修改默认人配置（或者使用 flatseal 图形界面工具）

flathub 里也有别人打包好的 QQ 和 telegram 。比如 QQ：
https://github.com/flathub/com.qq.QQ/blob/master/com.qq.QQ.yaml

文件系统相关的部分只开放了
--filesystem=xdg-download
--filesystem=xdg-run/pipewire-0
--filesystem=/tmp
这 3 个地方

所以 flatpak 版的 QQ ，除非 QQ 偷偷地搞什么沙箱逃逸之类行为，默认是读取不到这几个以外的地方的。

amber0317

试试 flatpak ？我也是 NixOS ，对于不干净的桌面软件直接丢进 flatpak 限制进沙箱处理了。
劣势就是占用空间大点，然后不够 native （