В ПРА у пользователя live (от имени которого запускаются Хоrg и все остальное) права sudo на все без пароля. Т.е. по сути это тот же root (как в классическом пупи)
Это упрощает многие вещи, но небезопасно
Можно поставить в sudo запрос пароля, но вводить придется очень часто, т.к. при фругале все операции с модулями надо от root
Простое решение -
запускать "опасные приложения" типа браузеров и т.п. от бесправного юзераНикаких паролей и безопасно
В аттаче скрипт, запускать который надо от юзера live :
Проверил так же ffox chromium c minirc и systemd
Он создаст /home/live/nobody, в котором будет профиль palemoon и пр. запускаемых так приложений
Если у вас уже есть настроенный профиль - переместить в /home/live/nobody и
sudo chown -R nobody /home/live/nobody
Соответственно сохранить что-то из запущенных от nobody приложений можно будет только в /home/live/nobody
Юзер live (точнее все) имеют в /home/live/nobody права на чтение
Теоретически можно намутить и запись
Если делать такой запуск по умолчанию - надо будет переделать модули профилей браузеров 083
слетели закладки браузералогично было бы запускать Х от рута