As sessões de convidados são bloqueadas usando o AppArmor, que usa uma longa lista de permissões especiais para impedir que usuários convidados toquem em algo. Estes são acessados a partir de etc/apparmor.d/lightdm-guest-session .
Na minha máquina, esse arquivo é assim:
# Profile for restricting lightdm guest session
#include <tunables/global>
/usr/lib/lightdm/lightdm-guest-session {
# Most applications are confined via the main abstraction
#include <abstractions/lightdm>
# chromium-browser needs special confinement due to its sandboxing
#include <abstractions/lightdm_chromium-browser>
}
Abrindo essa "abstração principal" ( etc/apparmor.d/abstractions/lightdm ) dá algo mais interessante:
...
/ r,
/bin/ rmix,
/bin/fusermount Px,
/bin/** rmix,
/cdrom/ rmix,
/cdrom/** rmix,
/dev/ r,
/dev/** rmw, # audio devices etc.
owner /dev/shm/** rmw,
/etc/ r,
/etc/** rmk,
...
Estes são todos os diretórios que uma sessão restrita pode acessar, junto com suas permissões. Se você adicionar seu disco rígido a essa lista (com% de /** para incluir todas as subpastas e r para permissão de leitura), todas as futuras sessões de convidados terão acesso somente leitura a elas.