Gestisco Debian 9.1 con KDE e per motivi di sicurezza mi piacerebbe eseguire Firefox ESR in modalità sandbox.
Tuttavia mi piacerebbe comunque utilizzare molte normali funzionalità di Firefox per la mia normale navigazione, scaricare i file sul mio computer e archiviare / accedere a browsing -history e -sessions.
Come posso farlo?
Esistono diversi modi per sandbox Firefox (o un'applicazione simile), a seconda dei tuoi esatti requisiti.
Dalla soluzione più leggera a quella più pesante, hai principalmente:
Firejail è un software progettato appositamente per sandboxare facilmente altre applicazioni mantenendole sullo stesso filesystem di root. Si basa su funzionalità Linux standard (namespace e seccomp-bpf) e non ha alcuna assunzione significativa sul sistema sottostante, quindi dovrebbe funzionare solo sulle distro Linux più comuni. Supporta sane soluzione X sandboxing (vedere la nota sull'applicazione X alla fine), fornisce i preset per usi comuni mentre supporta un'ampia gamma di personalizzazione.
Molto probabilmente eccessivo per uso personale, ma potrebbe essere adatto in ambiente aziendale: puoi personalizzare AppArmor o SELinux regole per far rispettare la sandbox. Molto probabilmente dovrai scegliere una distribuzione Linux che già fornisce una serie di regole base nell'opzione che hai scelto. Questo fornisce un sandboxing di livello inferiore, che può anche essere esteso alla rete (almeno con SELinux, non sono sicuro che AppArmor supporti questo), ma a livello più basso si intende una quantità di lavoro molto più alta per implementare questa soluzione. / p>
Puoi sandbox Firefox nel suo ambiente, il modo più leggero di usare un container Linux ( LXC ), il più pesante dei quali utilizza una macchina virtuale a tutti gli effetti. Facendo questo manualmente potresti anche dover pensare a un modo sicuro per trasferire i dati da e verso l'ambiente sandboxed di FIrefox.
Puoi lasciare pubbliche distribuzioni pubbliche e passare a una distribuzione Linux orientata alla sicurezza, come ad esempio Qubes OS oppure Sistema operativo sottografa . La distribuzione di Linux implementa l'isolamento del software nel loro nucleo, Qubes spinge l'idea al massimo affidandosi a un insieme di macchine virtuali Xen per isolare i driver di dispositivo e il sottografo che si basa invece su contenitori Linux. Il sandboxing qui non è più un layer aggiunto a una distribuzione general purpose, questo significa che ognuno di questi sistemi operativi fornisce il proprio flusso di lavoro per gestire i trasferimenti di dati tra ogni applicazione, ecc.
Finalmente puoi anche utilizzare un computer dedicato per la navigazione casuale e un altro per le attività più delicate. Questo non è esclusivo del caso precedente, in quanto potrebbe essere sensato in particolare eseguire Qubes su tali computer per isolarli da una rete altrimenti potenzialmente non sicura (se si presume che il computer di ricerca casuale possa essere infetto, significa che si presume che un utente malintenzionato potrebbe tentare di attaccare il tuo computer sensibile dalla tua rete interna). Questo può sembrare eccessivo, ma è comune usare diversi computer per lavoro e per casa, questo non è diverso.
A seconda della soluzione scelta, potrebbe essere necessario ricontrollare il modo in cui viene gestito lo schermo poiché, in circostanze normali, ogni applicazione X ha accesso all'interfaccia di ogni altra applicazione, consentendo di interagire con essi o catturare i loro ingresso e uscita. Ecco un thread che fornisce alcuni indizi se è necessario creare una configurazione personalizzata.