使用 Apparmor Bubblewrap 保护浏览器 cookie、限制 QQ/TG 访问权限，有参考资料吗？

比较理想的可能是做到类似现在 Android/IOS 那种细粒度的 APP 权限控制，bubblewrap 能做到类似的效果，但是要慢慢调试，还挺麻烦的。

firejail 有很多现成的配置能用，比较方便，但又被很多人喷它的设计有安全问题，不太敢用。

试试 flatpak ？我也是 NixOS ，对于不干净的桌面软件直接丢进 flatpak 限制进沙箱处理了。
劣势就是占用空间大点，然后不够 native （

@amber0317 flatpak 主要是不够声明式，不过装个 QQ 确实 OK ，我最近在整的 nixpak 也是用了 flatpak 的 bubblewrap ，更可控些，缺点就是配置起来很麻烦。

我再折腾下吧，如果不好搞就换成 flatpak

flatpak 就有一定的沙箱功能，并且还可以通过 flatpak override 来修改默认人配置（或者使用 flatseal 图形界面工具）

flathub 里也有别人打包好的 QQ 和 telegram 。比如 QQ：
https://github.com/flathub/com.qq.QQ/blob/master/com.qq.QQ.yaml

文件系统相关的部分只开放了
--filesystem=xdg-download
--filesystem=xdg-run/pipewire-0
--filesystem=/tmp
这 3 个地方

所以 flatpak 版的 QQ ，除非 QQ 偷偷地搞什么沙箱逃逸之类行为，默认是读取不到这几个以外的地方的。

@cnt2ex 哇这个好啊，我可以直接把这个配置抄到我的 nixpak 配置里，这样体验是一致的，而且也能声明式。