che esegue firefox come utente non privilegiato su Linux

Naviga le tue risposte
2

Su un desktop tipico (senza servizi di ascolto come Apache , SSH , ... ) mi sembra, il browser è l'applicazione più esposta e un potenziale compromesso di sicurezza (e ancora di più con Java e Flash plugins. A giudicare dai costanti aggiornamenti di sicurezza, sembra corretto.

Pertanto mi chiedo se potrei eseguire Firefox ( Iceweasel ) come utente diverso, ad esempio nobody . Anche se firefox avesse un bug critico, la cosa peggiore che potesse capitarmi è che i file di nobody sarebbero stati compromessi.

Questa sembra una buona idea. È effettivamente fattibile? Questo avrebbe degli svantaggi. È davvero una soluzione a prova di bluet come immagino che sia?

In che modo la finestra di Firefox non dovrebbe essere accessibile al mio display?

C'è forse un modo migliore per rendere Firefox più sicuro (vale a dire il carcere)?

Sto utilizzando l'ambiente desktop Debian Wheezy e LXDE .

Chiarimento

Avrei dovuto forse formulare la mia domanda più chiaramente, ma pensavo che fosse troppo ovvio per aver bisogno di essere elaborato. Ovviamente, non sto facendo funzionare Firefox come root. Sto facendo funzionare firefox (e tutto il resto) come utente martin . La mia domanda riguarda l'esecuzione di firefox come un altro utente rispetto a martin , mentre si effettua il login in X come martin . Voglio proteggere sia root che martin da compromessi.

    
posta Martin Vegter 30.03.2014 - 11:46
fonte

5 risposte

4

AppArmor o SELinux è probabilmente una soluzione migliore rispetto all'esecuzione di Firefox come utente diverso.

Come accennato, l'esecuzione di qualsiasi tipo di nuovo software (inclusi i controlli di accesso obbligatori come questi) introduce potenzialmente nuove vulnerabilità (sono abbastanza sicuro che alcuni sono stati trovati per SELinux) ma penso che la maggior parte concorda sul fatto che il compromesso valga la pena.

    
risposta data 30.03.2014 - 18:20
fonte
2

Hai pensato di utilizzare qualcosa come Tails ( link )? Come suggerito sopra, potresti usarlo con un Vm, ma basandoti su quello che è fondamentalmente per te non avresti bisogno di tenere un'istanza sulla tua macchina per questo. Ci sono anche cose come sandfox ( link ) che ti permettono di eseguire firefox in una sandbox così come in altri chroot soluzioni online.

    
risposta data 30.03.2014 - 18:26
fonte
2

modalità paranoica:

  • installa un linux diverso su una macchina diversa, meglio, usa una distribuzione ro-mount da cd come knoppix o giù di lì (virtualbox e kvm è tuo amico)
  • esegui il tuo browser da quell'altra macchina, usando x-forwaring o x2go (free client / terminal-soluzione / client-soluzione, funziona molto bene su debian)
  • indurisci questo browser con noscript, adblockplus, ghostery, request-policy e cert-checker, no cookie di terze parti, ecc.
  • invece di linux, usa bsd, haiku o plan9
risposta data 31.03.2014 - 08:50
fonte
1

Sei sulla strada giusta rendendosi conto che Xclient (in questo caso Firefox) non sarà in grado di accedere a un Xserver in esecuzione su un altro utente (per impostazione predefinita).

La soluzione più semplice sarebbe a ssh -X webuser@localhost firefox (nota che NON userò esplicitamente l'account 'nessuno' - questo non dovrebbe essere usato per questo scopo) - che gestisce automaticamente la modifica se userid, il trasferimento di token xauth e impostazione del DISPLAY. Il tunnel ssh è un po 'un overhead inefficiente - il laternativo è imparare a usare xauth da solo (anche l'hint xhost +localhost non è molto sicuro).

Ma dovresti NON fare il login come root per navigare in Internet.

    
risposta data 31.03.2014 - 16:51
fonte
-1

Potresti creare un account, senza privilegi e usarlo per la navigazione, ma ci sono degli exploit che potrebbero ottenere i privilegi di root. Non c'è nulla che possa proteggerti.

    
risposta data 30.03.2014 - 11:49
fonte

Leggi altre domande sui tag

Perché i siti di archiviazione di file hanno un ID univoco lungo per i loro collegamenti di download? Perché un programma non può utilizzare solo il proprio sistema di accesso ai file system?