ejecutando firefox como usuario sin privilegios en Linux

Navega tus respuestas
2

En un escritorio típico (sin servicios de escucha como Apache , SSH , ... ) me parece que el navegador es la aplicación más expuesta y un posible compromiso de seguridad (y más aún con Java y Flash de complementos. Y a juzgar por las constantes actualizaciones de seguridad, esto parece ser correcto.

Por lo tanto, me pregunto si podría ejecutar Firefox ( Iceweasel ) como un usuario diferente, como nobody . Incluso si Firefox tuviera un error crítico, lo peor que podría pasarme es que los archivos que pertenecen a nobody se vieran comprometidos.

Esto parece ser una gran idea. ¿Es esto realmente factible? ¿Esto tendría alguna desventaja? ¿Es realmente una solución a prueba de bluet como imagino?

¿Cómo accedería la ventana de Firefox de nadie a mi pantalla?

¿Hay quizás una mejor manera de hacer que Firefox sea más seguro (es decir, en la cárcel)?

Estoy usando Debian Wheezy y LXDE entorno de escritorio.

ACLARACIÓN

Tal vez debería haber formulado mi pregunta más claramente, pero pensé que era demasiado obvio como para necesitar más detalles. Por supuesto, no estoy ejecutando Firefox como root. Estoy ejecutando Firefox (y todo lo demás) como usuario martin . Mi pregunta está relacionada con la ejecución de Firefox como otro usuario que no sea martin , mientras que estoy registrado en X como martin . Quiero proteger tanto a root como a martin de ser comprometidos.

    
pregunta Martin Vegter 30.03.2014 - 11:46
fuente

5 respuestas

4

AppArmor o SELinux es probablemente una mejor solución que ejecutar Firefox como un usuario diferente.

Como mencionó, la ejecución de cualquier tipo de software nuevo (incluidos los controles de acceso obligatorios como estos) potencialmente introduce nuevas vulnerabilidades (estoy bastante seguro de que se han encontrado para SELinux) pero creo que la mayoría está de acuerdo en que la compensación vale la pena.

    
respondido por el Jon 30.03.2014 - 18:20
fuente
2

¿Has pensado en usar algo como Tails ( enlace )? Como se sugirió anteriormente, podría usarlo con una Vm, pero en función de lo que es fundamentalmente para usted, no tendría que mantener una instancia en su máquina para ello. También hay cosas como sandfox ( enlace ) que te permiten ejecutar Firefox en una caja de arena, así como otros chroot soluciones en línea.

    
respondido por el beardedeagle 30.03.2014 - 18:26
fuente
2

modo paranoico:

  • instale un linux diferente en una máquina diferente, mejor, use una distribución montada en ro de cd como knoppix o algo así (virtualbox y kvm es su amigo)
  • ejecute su navegador desde esa otra máquina, utilizando x-forwaring o x2go (un servidor / solución de cliente / linux de Linux gratuito y bueno, funciona muy bien en debian)
  • fortalezca este navegador con noscript, adblockplus, ghostery, política de solicitud y comprobador de certificados, sin cookies de terceros, etc.
  • en lugar de linux, use bsd, haiku o plan9
respondido por el that guy from over there 31.03.2014 - 08:50
fuente
1

Está en el camino correcto al darse cuenta de que Xclient (en este caso, Firefox) no podrá acceder a un servidor X que se ejecute con un usuario diferente (de forma predeterminada).

La solución más sencilla sería ssh -X webuser@localhost firefox (tenga en cuenta que NO usaría explícitamente la cuenta de "nadie", esto no debe usarse para este propósito), que trata automáticamente el cambio si el ID de usuario, la transferencia de tokens xauth configurando la PANTALLA. El túnel ssh es un poco de una sobrecarga insuficiente, la alternativa es aprender a usar xauth (la sugerencia xhost +localhost tampoco es muy segura).

Pero realmente deberías NO iniciar sesión como root para navegar por Internet en primer lugar.

    
respondido por el symcbean 31.03.2014 - 16:51
fuente
-1

Puede crear una cuenta, sin privilegios y usarla para navegar, pero existen vulnerabilidades que pueden obtener privilegios de root. No hay nada que pueda asegurarte.

    
respondido por el user3395407 30.03.2014 - 11:49
fuente

Lea otras preguntas en las etiquetas

¿Es posible que un atacante cambie el contenido de mis correos electrónicos enviados antes de la llegada? ¿Cómo bloquear los escaneos de red con pfsense?