Chroot браузера.

0

0

Уважаемые эксперты! Решил заняться секурностью только что поставленной слаквари 12, скомпилил последнее ядро, отредактил правила iptables'a, посчитал хешики на бинарники в /sbin.. Вот только возникла проблема: браузер я запускаю из-под реального пользователя с домашним каталогом и шелом. Следственно браузер в случае выполнения вредоносных java скритов может осложнить мне жизнь хотя бы тем, что затрет домашний каталог.. Посему просьба: ткните пожалуйста носом в мануал, в котором доходчиво объяснено, как поместить браузер(фф, оперу) в chroot. Или может лучше поместить в chroot иксы? З.Ы. По форуму искал, у гугла спрашивал, ничего по теме не нашел.

Ссылка

←	Пароль root

монтирование защищенного HDD

→

jail?

anonymous
(29.03.08 19:34:56 MSK)

Ссылка

Можно попробовать гентушный sandbox прикрутить (но только он (если заранее знать про его существование) легко обходится, ибо базируется на LD_PRELOAD).

А так - создай директорию, в ней создай каталоги /bin, /etc, /lib и прочие (кроме /home), к ним посредством mount -o bind подключи копии реальных директорий из корня, затем чрутись в этот каталог и запускай всё что тебе нужно. Это самый простой способ который мне видится.

slav ★★★
(29.03.08 20:38:14 MSK)

Ссылка

Можно, например, создать отдельную учетную запись, например browser_user и запускать любимый браузер из под этой учетной записи.

asion
(30.03.08 19:05:10 MSD)

Ответ на: комментарий от asion 30.03.08 19:05:10 MSD

да, вот чем плох этот вариант? никогда его не упоминают почему-то. может параноя конечно...

anonymous
(30.03.08 19:17:20 MSD)

Вот что слака с людьми творит...

magesor ★☆
(30.03.08 23:48:42 MSD)

Ссылка

Попробуй в сторону freebsd-шного nullfs покопать.

parser ★★
(31.03.08 21:57:28 MSD)

Ссылка

Запускаешь висту, находишь в диспетчере задач процесс IE, щёлкаешь по нему правой кнопкой и ставишь галочку у пункта «виртуализация».

anonymous
(31.03.08 22:00:15 MSD)

Ответ на: комментарий от anonymous 31.03.08 22:00:15 MSD

>Запускаешь висту, находишь в диспетчере задач процесс IE, щёлкаешь по нему правой кнопкой и ставишь галочку у пункта «виртуализация».

Интересно, что произойдет? Наверное, ничего. Замануха для леммингов.

parser ★★
(31.03.08 23:24:03 MSD)

Ссылка

Ответ на: комментарий от anonymous 30.03.08 19:17:20 MSD

Тем, что придется создавать юзеров lodin_browser, shaman_browser, anonymous_browser и т.д., т.к. настройки браузера у всех разные.

Неудобно...

lodin ★★★★
(01.04.08 00:02:15 MSD)

Ссылка

А нафиг это вообще делать? Отрубить нахрен java - его только на кривых сайтах используют. А уважающие себя люди никаких java/flash не пихают на страницы и отдают только голый html да картинки.

~~Eddy_Em~~ ☆☆☆☆☆
(01.04.08 12:41:44 MSD)