Se você montar / tmp como tmpfs, ele existirá inteiramente na memória e não tocará no disco. Isso também tem o benefício de diminuir a latência e aumentar a velocidade ou os acessos. Se você não pode fazer isso, então sim, como você disse, o AppArmor ou algo semelhante é provavelmente a melhor aposta. Isso também ajudaria a proteger você de um navegador comprometido.
Um teste simples para ver se funcionou é colocar file:///tmp/
no omnibar e ver se ele é carregado e, em seguida, verificar dmesg
para ver se o AppArmor negou o acesso. Se a política do AppArmor da sua distribuição não bloquear o acesso a / tmp por padrão, você poderá substituir esse comportamento executando o seguinte:
# echo "deny /tmp/ w," >> /etc/apparmor.d/local/usr.bin.chrome
# echo "deny /tmp/** w," >> /etc/apparmor.d/local/usr.bin.chrome
Em seguida, reinicie o AppArmor ( /etc/init.d/apparmor reload
) e reinicie o navegador. Verifique se o caminho está correto e está no caminho apparmor.d/local
ou será substituído na próxima atualização. Você pode achar esses recursos úteis: