Come sandbox Iceweasel (Firefox) su Debian? [chiuso]

8

Esistono strumenti per sandboxing di Iceweasel (Firefox) su sistemi Debian? Sono principalmente interessato agli strumenti distribuiti da Debian. (Una fonte altrettanto affidabile sarebbe la seconda migliore.)

(Suppongo che l'installazione di VirtualBox e l'esecuzione di Iceweasel (o Firefox) al suo interno funzionino correttamente con il sandbox del browser, ma le istanze di VirtualBox occupano molto spazio su disco e l'unità della mia macchina non è così grande. un modo per ottenere gli stessi risultati con un ingombro del disco inferiore.)

    
posta kjo 23.06.2014 - 15:44
fonte

3 risposte

3

Potresti usare la finestra mobile che usa i contenitori di Linux.

Ecco come si può fare:

Scarica e installa la finestra mobile da qui

Crea un file chiamato "Dockerfile" che contiene i comandi per creare un'immagine docker. Il seguente file crea un'immagine basata su Ubuntu in cui verranno installati firefox e il server OpenSSH. Viene creato un utente "noone" (sostituisci [la tua chiave pubblica] con una tua chiave pubblica) che verrà utilizzato in seguito per avviare Firefox.

FROM ubuntu:14.04 RUN apt-get update RUN apt-get -y install openssh-server firefox RUN mkdir /var/run/sshd RUN useradd -m -U --shell=/bin/bash noone RUN sed -ri 's/noone:!/noone:*/g' /etc/shadow RUN sed -ri 's/UsePAM yes/UsePAM no/g' /etc/ssh/sshd_config RUN mkdir /home/noone/.ssh RUN chown noone:noone /home/noone/.ssh RUN echo 'ssh-rsa [your public key] xxx' > /home/noone/.ssh/authorized_keys EXPOSE 22 CMD ["/usr/sbin/sshd", "-D"]

Avvia il daemon docker con docker -d .

Vai nella directory in cui si trova il tuo Dockerfile ed esegui docker build -t sandboxfirefox . Questo creerà l'immagine sanboxfirefox.

Avvia un contenitore finestra mobile dall'immagine creata sopra con docker run -d -p 127.0.0.1:5001:22 sandboxfirefox (la porta 22 del contenitore viene esportata nella porta 5001 nell'host)

Ora puoi avviare firefox via SSH usando l'inoltro X con l'utente "noone" come segue:

ssh -o "UserKnownHostsFile /dev/null" -t -X -p 5001 noone@localhost firefox

Le modifiche al filesystem avranno effetto solo sul contenitore e non sull'immagine. Se si interrompe il contenitore, tutte le modifiche andranno perse.

    
risposta data 23.06.2014 - 17:33
fonte
1

Un metodo che utilizzo per l'applicazione "sandboxing" (ad esempio server di gioco, applicazioni di rete, ...) sta creando un utente specifico per ciascuna applicazione. Ad esempio:

sudo adduser firefoxuser # create a user for browsing the web

Quindi esci e accedi come nuovo utente. Quindi esegui qualsiasi applicazione tu debba eseguire. Se l'utente non ha bisogno di sudo di accesso, assicurati che l'utente non possa utilizzare sudo .

Nel tuo caso, accedi come utente ogni volta che vuoi navigare sul web. In questo modo se un utente malintenzionato è in grado di accedere al tuo sistema, non avrà accesso a un account amministratore immediatamente. Potresti anche decidere di rimuoverli da determinati gruppi predefiniti se desideri limitare ulteriormente l'accesso.

Virtual Box

Come hai detto nella tua domanda, Virtual Box (VM Ware ecc.) ha molti svantaggi:

  1. Utilizza una tonnellata di RAM
  2. Utilizza un sacco di spazio su disco
  3. Molto più lento

Ma ci sono molti vantaggi nell'usarlo. È possibile creare una macchina virtuale e quindi creare un'istantanea. Io di solito chiamo questo "Factory State". Quindi, quando hai terminato di utilizzare la macchina virtuale, torna allo snapshot. Qualsiasi malware che potrebbe essere stato installato sulla tua macchina virtuale verrà cancellato.

    
risposta data 23.06.2014 - 15:59
fonte
0

Dovresti controllare il software sandbox arkose . Questa è una sandbox copy-on-write progettata per lasciare intatto il tuo filesystem dopo che il processo è terminato.

Afaik, non ci sono controlli in arkose per limitare l'accesso in lettura ai tuoi file, quindi eseguire il browser come un altro utente potrebbe essere una buona idea.

Uno svantaggio di tale sandboxing, è che i plug-in che vengono aggiornati dal browser non sopravviveranno alla sandbox. Dovresti eseguire periodicamente il browser normalmente per consentire l'aggiornamento dei plug-in.

    
risposta data 23.06.2014 - 16:40
fonte

Leggi altre domande sui tag