Napisałem plik specyfikacji piaskownicy (zainspirowany plikami /usr/share/sandbox
i instrukcjami tego typu ), a teraz mogę uruchomić aplikację w piaskownicy sandbox-exec $path_to_rules /Applications/$appname.app/Content/...
. W porządku.
Czy istnieje sposób na egzekwowanie zasad, gdy aplikacja jest uruchamiana regularnie (Finder „Otwórz za pomocą ...” itp.)?
Myślałem o zastąpieniu pliku binarnego wewnątrz .app skryptem otoki, ale zostanie on nadpisany po aktualizacji aplikacji i za każdym razem będę musiał go przywrócić.
/Applications
się zmienia? A także zabronić dowolnej aplikacji samodzielnej modyfikacji.