当前位置:首页 > 黑客技术 > 正文内容

怎么设置并运用Firefox沙盒

访客4年前 (2021-04-15)黑客技术682

本文描述及介绍了一些常见的Firefox阅读器的沙盒设置,可作为平常闲暇时操作的参阅。
2019年8月,安全专家Cody Crews 告知了Mozilla,称发现一个俄罗斯的新闻网站被植入歹意广告,而其间经研讨是运用Firefox的PDF Viewer上的缝隙施行进犯的。该缝隙的 payload 会搜索本地文件体系的灵敏文件,并将其上传至进犯者的服务器端。而针对其间的上传行为,事实上Firefox也有相应的技能进行防备。其间Firejail沙盒的默许装备会阻断.ssh, .gnupg以及.filezilla对/home目录下一切文件的拜访权限。而更高档的设置则能够阻断一切程序对文件的拜访。
接下来,也让咱们来了解下Firejail沙盒的相关操作吧!
敞开 Firefox
首要,能够经过下面指令来敞开沙盒,
$ firejail firefox
温馨提示:在默许设置中,由于Firefox是运用单一进程来处理多个阅读器窗口。所以假如用户现已在运转Firefox,咱们需求运用 -no-remote 指令选项,不然最终只能有一个新的标签或一个新的窗口连接到现有的阅读器进程,详细操作如下:
$ firejail firefox -no-remote
文件体系容器
沙盒中包含了一个文件体系容器,该容器的启用状况会和沙盒坚持同步,即会跟着沙盒的敞开而启用,跟着沙盒的封闭而封闭。一起,该文件体系容器也是依据用户计算机本地的文件体系。所以也激烈地引荐用户能定时地晋级操作体系。在这种状况下,沙盒只允许Firefox拜访“一小组”文件和目录,而一切用户的私家信息也会被移除。下图为将home途径下的部分文件和目录设置为白名单。

关于其他文件体系中的目录或许文件的默许拜访权限如下:
•/boot – 黑名单(不允许任何操作)
•/bin – 只读
•/etc – 只读; 其间,/etc/passwd以及/etc/group只允许当时用户进行操作
•/home – 只显示給当时用户
•/lib, /lib32, /lib64 –只读
•/proc, /sys –挂起并映射到新的PID 命名空间
•/sbin – 黑名单
•/selinux – 黑名单
•/usr – 只读; 其间,/usr/sbin 为 黑名单
•/var – 只读;
一起文件体系中的密码文件,密钥以及开发工具也会从沙盒中移除。假如 Firefox测验拜访一个黑名单文件,针对这种事情,沙盒将会生成日志信息传递到 syslog中。日志样例如下,

安全过滤器
以下的安全过滤器会被默许敞开,这些安全过滤器的效果在于削减内核进犯面,并维护文件体系容器的安全性。首要有以下安全过滤机制:
1、seccomp-bpf(BSD Packet Filter),是一种用于Unix内核网络数据包的过滤机制,支撑32/64位。它能使一个进程进入到一种“安全”运转形式,该形式下的进程只能调用4种体系调用(system calls),即read(), write(), exit()和sigreturn(),不然进程便会被停止;
2、protocol,这个过滤机制会查看socket体系调用的第一次抵触。它支撑 IPv4, IPv6, UNIX 及 netlink;
3、noroot user namespace ,只允许为当时用户分配一个命名空间;
4、capabilities,沙盒会屏蔽Linux的一切功能,对root权限用户在沙盒中的操作进行约束。
当有抵触呈现,seccomp 会依据装备的默许规矩,强制封闭阅读器进程。一起将日志信息传递給syslog。详细日志信息如下,

到这儿,关于大部分用户来说,默许的“firejail firefox”设置其完成已足够了。接下来,将共享一些特定的运用场景。
高安全度设置
一般来说,比方去拜访银行帐户或任何其他触及灵敏私家信息的网站之前,能够启用该装备。该运用场景是在用户拜访受信赖的网站,但并不信赖安装在阅读器中的插件的状况下运用。咱们能够经过运用 –private 指令,挑选康复阅读器默许出厂装备,之后咱们也能够看到被清空了的home目录。
此外,咱们还需求重视咱们的DNS设置,由于现在家用路由器安全性较低,而最常见的路由进犯办法是重装备DNS并将用户的流量重定向到一个冒充的银行网站。那么针对这种状况,咱们能够经过运用  firejail中的 –dns 指令来指定沙盒的DNS装备:详细指令如下,
$ firejail --private --dns=8.8.8.8 --dns=8.8.4.4 firefox -no-remote
在这儿咱们也需求添加-no-remote 指令来防止阅读器遭封闭。
作业设置
在这个设置中,咱们在/home/username/work目录下,进行日常的作业,邮件发送和相关的网页阅读,可经过以下指令完成,
$ firejail --private=/home/username/work thunderbird &
$ firejail --private=/home/username/work firefox -no-remote &
 Mozilla的Thunderbird以及Firefox会将~/work途径识别为用户的home目录。该装备即便沙盒封闭仍将维持着。
网络设置
假定eth0是首要的以太网接口,经过以下指令,咱们将创立一个新的TCP/IP仓库,并将之连接到主机以太网络,然后咱们敞开下阅读器。
$ firejail --net=eth0 firefox
以下为在沙盒中网络命名空间的详细完成方法,

Firejail 经过以下指令,对网络进行ARP扫描,获取到一个新的IP地址。

[1] [2]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106007.html

分享给朋友:

“怎么设置并运用Firefox沙盒” 的相关文章

天猫双十一活动什么时候开始华流

以前提到双十一那都是光棍才过的节日,而现在双十一摇身一变成了全民购物狂欢节。在双十一期间以淘宝天猫为主的购物平台都会推出各种优惠活动以及满减折扣,可以算得上是全年最便宜的时候了。那么天猫双十一活动什么时候开始呢?下面就跟百思特小编来详细了解一下2020年天猫双十一开始时间吧!...

接单的黑客_可以找黑客黑美团吗

有在网络安全范畴中,猜测网络违法和歹意软件发展趋势好像现已成为了各大网络安全公司的传统了。 为了防止让咱们去阅览上百页的安全陈述,咱们专门整兼并总结了McAfee、Forrester、FiskIQ、卡巴斯基实验室【1、2、3】、WatchGuard、Nuvias、FireEye、CyberArk、F...

黑客了解,中国黑客越南网络apt,黑客网站密码破解工具

6.42 · hxxp[://]offlineearthquake[.]com/file//?id=&n=000 进程三:使命履行及实时数据剖析10.61 2019年6月19日,FireEye Endpoint Security设备上收到了缝隙检测警报。 违规应用程序被辨认为Microso...

安宫牛黄丸现在价格 - 天地和堂安宫牛黄丸多少钱

一丸280元左右.装同仁堂安宫牛黄丸,那个年代的这个玩意,中医说法多少,体外培育牛黄。 两丸,字[2000]201号\制定安宫牛黄丸等药品价格的批复,到正规的同仁堂自己品牌的药店购买,价格不一样,希望懂得.天然牛黄天然麝香。北京同仁堂牛黄解毒丸的市场价格在2005年。 绿色木盒这三种包装的价格一样,...

Webshell安全检测篇

0x00 依据流量的检测办法 1.概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分...

威海海景房房价走势 - 山东威海海景房骗局

我是在乳山银滩买房的,多谢啦!可能是真实情况。 晚上夕阳衬着大海格外美丽,石岛房子要比银滩强的多。骗局倒是谈不上,是一个新兴的旅游区的新城,一般购房者以外地居民多,估计也是房子价格的一部分吧,那收入会更高,我家刚在D区买了房子,环境以及二十多公里的原生态沙滩形成。 但都在下面县级市的镇的郊区.听老妈...

评论列表

鸠骨沐白
2年前 (2022-07-05)

之连接到主机以太网络,然后咱们敞开下阅读器。$ firejail --net=eth0 firefox以下为在沙盒中网络命名空间的详细完成方法,Firejail 经过以下指令,对网络进行ARP扫

性许怙棘
2年前 (2022-07-05)

本文描述及介绍了一些常见的Firefox阅读器的沙盒设置,可作为平常闲暇时操作的参阅。2019年8月,安全专家Cody Crews 告知了Mozilla,称发现一个俄罗

依疚卬妄
2年前 (2022-07-05)

空间•/sbin – 黑名单•/selinux – 黑名单•/usr – 只读; 其间,/usr/sbin 为 黑名单•/var – 只读;一起文件体系中的密码文件,密钥以及开发工具也会从沙盒中移除。假如 Firefox

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。