怎么设置并运用Firefox沙盒
本文描述及介绍了一些常见的Firefox阅读器的沙盒设置,可作为平常闲暇时操作的参阅。
2019年8月,安全专家Cody Crews 告知了Mozilla,称发现一个俄罗斯的新闻网站被植入歹意广告,而其间经研讨是运用Firefox的PDF Viewer上的缝隙施行进犯的。该缝隙的 payload 会搜索本地文件体系的灵敏文件,并将其上传至进犯者的服务器端。而针对其间的上传行为,事实上Firefox也有相应的技能进行防备。其间Firejail沙盒的默许装备会阻断.ssh, .gnupg以及.filezilla对/home目录下一切文件的拜访权限。而更高档的设置则能够阻断一切程序对文件的拜访。
接下来,也让咱们来了解下Firejail沙盒的相关操作吧!
敞开 Firefox
首要,能够经过下面指令来敞开沙盒,
$ firejail firefox
温馨提示:在默许设置中,由于Firefox是运用单一进程来处理多个阅读器窗口。所以假如用户现已在运转Firefox,咱们需求运用 -no-remote 指令选项,不然最终只能有一个新的标签或一个新的窗口连接到现有的阅读器进程,详细操作如下:
$ firejail firefox -no-remote
文件体系容器
沙盒中包含了一个文件体系容器,该容器的启用状况会和沙盒坚持同步,即会跟着沙盒的敞开而启用,跟着沙盒的封闭而封闭。一起,该文件体系容器也是依据用户计算机本地的文件体系。所以也激烈地引荐用户能定时地晋级操作体系。在这种状况下,沙盒只允许Firefox拜访“一小组”文件和目录,而一切用户的私家信息也会被移除。下图为将home途径下的部分文件和目录设置为白名单。
关于其他文件体系中的目录或许文件的默许拜访权限如下:
•/boot – 黑名单(不允许任何操作)
•/bin – 只读
•/etc – 只读; 其间,/etc/passwd以及/etc/group只允许当时用户进行操作
•/home – 只显示給当时用户
•/lib, /lib32, /lib64 –只读
•/proc, /sys –挂起并映射到新的PID 命名空间
•/sbin – 黑名单
•/selinux – 黑名单
•/usr – 只读; 其间,/usr/sbin 为 黑名单
•/var – 只读;
一起文件体系中的密码文件,密钥以及开发工具也会从沙盒中移除。假如 Firefox测验拜访一个黑名单文件,针对这种事情,沙盒将会生成日志信息传递到 syslog中。日志样例如下,
安全过滤器
以下的安全过滤器会被默许敞开,这些安全过滤器的效果在于削减内核进犯面,并维护文件体系容器的安全性。首要有以下安全过滤机制:
1、seccomp-bpf(BSD Packet Filter),是一种用于Unix内核网络数据包的过滤机制,支撑32/64位。它能使一个进程进入到一种“安全”运转形式,该形式下的进程只能调用4种体系调用(system calls),即read(), write(), exit()和sigreturn(),不然进程便会被停止;
2、protocol,这个过滤机制会查看socket体系调用的第一次抵触。它支撑 IPv4, IPv6, UNIX 及 netlink;
3、noroot user namespace ,只允许为当时用户分配一个命名空间;
4、capabilities,沙盒会屏蔽Linux的一切功能,对root权限用户在沙盒中的操作进行约束。
当有抵触呈现,seccomp 会依据装备的默许规矩,强制封闭阅读器进程。一起将日志信息传递給syslog。详细日志信息如下,
到这儿,关于大部分用户来说,默许的“firejail firefox”设置其完成已足够了。接下来,将共享一些特定的运用场景。
高安全度设置
一般来说,比方去拜访银行帐户或任何其他触及灵敏私家信息的网站之前,能够启用该装备。该运用场景是在用户拜访受信赖的网站,但并不信赖安装在阅读器中的插件的状况下运用。咱们能够经过运用 –private 指令,挑选康复阅读器默许出厂装备,之后咱们也能够看到被清空了的home目录。
此外,咱们还需求重视咱们的DNS设置,由于现在家用路由器安全性较低,而最常见的路由进犯办法是重装备DNS并将用户的流量重定向到一个冒充的银行网站。那么针对这种状况,咱们能够经过运用 firejail中的 –dns 指令来指定沙盒的DNS装备:详细指令如下,
$ firejail --private --dns=8.8.8.8 --dns=8.8.4.4 firefox -no-remote
在这儿咱们也需求添加-no-remote 指令来防止阅读器遭封闭。
作业设置
在这个设置中,咱们在/home/username/work目录下,进行日常的作业,邮件发送和相关的网页阅读,可经过以下指令完成,
$ firejail --private=/home/username/work thunderbird &
$ firejail --private=/home/username/work firefox -no-remote &
Mozilla的Thunderbird以及Firefox会将~/work途径识别为用户的home目录。该装备即便沙盒封闭仍将维持着。
网络设置
假定eth0是首要的以太网接口,经过以下指令,咱们将创立一个新的TCP/IP仓库,并将之连接到主机以太网络,然后咱们敞开下阅读器。
$ firejail --net=eth0 firefox
以下为在沙盒中网络命名空间的详细完成方法,
Firejail 经过以下指令,对网络进行ARP扫描,获取到一个新的IP地址。
[1] [2] 黑客接单网