Estoy ejecutando Debian 9.1 con KDE y por motivos de seguridad, me gustaría ejecutar Firefox ESR en un modo de espacio aislado.
Sin embargo, todavía me gustaría usar muchas funciones normales de Firefox para mi navegación normal, descargar archivos en mi computadora y almacenar / acceder a la navegación en la historia y las sesiones.
¿Cómo puedo hacer eso?
Tienes varias formas de utilizar Sandbox Firefox (o cualquier aplicación similar), según tus requisitos exactos.
Desde la solución más liviana a la más pesada, principalmente tiene:
Firejail es un software diseñado precisamente para proteger fácilmente otras aplicaciones y al mismo tiempo mantenerlas en el mismo sistema de archivos raíz. Se basa en las características estándar de Linux (espacios de nombres y seccomp-bpf) y no hace ninguna suposición importante sobre el sistema subyacente, por lo que solo debería funcionar en las distribuciones de Linux más comunes. Es compatible con la solución sandboxing de aplicaciones X sanas (consulte la nota sobre la aplicación X al final), proporciona ajustes preestablecidos para usos comunes mientras se admite una amplia gama de personalización.
Lo más probable es que sea excesivo para el uso personal, pero podría ser adecuado en un entorno corporativo: puede personalizar AppArmor o SELinux reglas para hacer cumplir el sandbox. Lo más probable es que tenga que elegir una distribución de Linux que ya proporcione un conjunto de reglas básicas en la opción que elija. Esto proporciona un sandboxing de nivel inferior, que incluso puede extenderse a la red (al menos con SELinux, no estoy seguro de que AppArmor sea compatible con esto), pero un nivel inferior significa una cantidad mucho mayor de trabajo para implementar esta solución. / p>
Puede utilizar Firefox en su propio entorno, la forma más sencilla es usar un contenedor de Linux ( LXC ), el más pesado es el uso de una máquina virtual completa. Al hacer esto manualmente, es posible que también tenga que pensar en una forma de transferir datos de manera segura hacia y desde el entorno de recinto de seguridad de FIrefox.
En su lugar, puede dejar distribuciones públicas generales y cambiar a una distribución de Linux orientada a la seguridad, como Qubes OS o Subgraph OS . Estas distribuciones de Linux implementan el aislamiento del software en su núcleo, y Qubes está impulsando la idea más allá al confiar en un conjunto de máquinas virtuales Xen para aislar también los controladores de dispositivo y el Subgraph que depende de los contenedores de Linux. El sandboxing aquí ya no es una capa agregada a una distribución de propósito general, esto significa que cada uno de estos sistemas operativos proporciona su propio flujo de trabajo para manejar las transferencias de datos entre cada aplicación, etc.
Por último, también puede usar una computadora dedicada para la navegación informal y otra para tareas más delicadas. Esto no es exclusivo en el caso anterior, ya que puede tener sentido, en particular, ejecutar Qubes en dichas computadoras para aislarlas de una red que de lo contrario no es de confianza (si asume que la computadora de navegación casual puede estar infectada, significa que asume que un atacante puede intentar atacar su computadora sensible desde su red interna). Esto puede parecer excesivo, pero es común usar diferentes computadoras para el trabajo y para el hogar, esto no es diferente.
Dependiendo de la solución que elija, es posible que deba verificar dos veces cómo se maneja la pantalla, ya que, en circunstancias normales, cada aplicación X tiene acceso a la interfaz de todas las demás aplicaciones, lo que le permite interactuar con ellas o capturar sus entrada y salida. Aquí hay un subproceso que da algunas pistas si necesita crear su propia configuración personalizada.