ultimamente ho usato la sessione ospite sulla mia installazione di xubuntu perché sono pigro e mi stavo chiedendo quali potrebbero essere le implicazioni sulla sicurezza sul resto del sistema se c'è un exploit del browser web o un attacco simile. Apparentemente pulisce l'intera sessione ospite ogni volta che si disconnette o diventa inattivo. Un'alternativa migliore sarebbe solo un normale account utente?
Entriamo nel dettaglio di ciò che una sessione ospite è su Ubuntu . Hai chiesto " è più sicuro affinché il sistema utilizzi una sessione ospite piuttosto che un normale account?", E la risposta è sì, ma solo leggermente .
Le sessioni ospite utilizzano un tmpfs invece di una casa, quindi i dati non vengono scritti sul disco ma rimangono nella RAM. Ciò significa che una sessione prolungata con importanti quantità di modifiche potrebbe richiedere lo swap del sistema.
Per quanto ne so, ogni volta viene creato e cancellato un utente, anche se non ho trovato il codice corrispondente in LightDM e guest-sessions albero su Launchpad.
I processi nella sessione possono solo creare connessioni TCP e UDP, anche se non sono sicuro di quali siano i benefici attesi in termini di sicurezza (a parte la prevenzione di PPTP tunnel?).
AppArmor viene utilizzato per garantire che questa sessione non possa scrivere sul sistema, tranne che per la propria casa e /tmp . Questo dovrebbe normalmente coprire i casi in cui si verifica un'escalation dei privilegi di root all'interno della sessione ospite, ma non gli attacchi al kernel stesso. Un account regolare non ti fornisce questo tipo di protezione.
Sì, cancella l'intera sessione (più concretamente, $ HOME dell'utente ospite). Un utente malintenzionato dovrebbe entrare in un altro account (root o, ad esempio, un utente normale con una password debole).
A meno che non riesca a farlo, qualsiasi modifica sparirà al logout, il che è bello per la sicurezza, ma scomodo per gli utenti.
Tuttavia, il fatto che le cose siano cancellate non significa che - se le autorizzazioni del filesystem consentono loro - non è possibile scrivere file su altre posizioni o inviare dati sul tuo sistema.
Would a better alternative be just a regular user account?
In alternativa a cosa? Per l'esecuzione degli exploit del browser? No.
Per l'uso normale di Xubuntu? Probabilmente. Dipenderà da cosa vuoi fare lì.
Leggi altre domande sui tag web-browser firefox attack-prevention