LINUX.ORG.RU

Сообщения anonymous3

 

Tor browser в клетке

В свете выхода tor browser 5.0 (Вышел Tor Browser 5.0) думаю попробовать доделать то, что когда-то начинал. Может, кому-то еще решение, если будет найдено, покажется полезным. Задача формулируется так:

Во в целом доверенной системе запускать tor browser (далее TB) изолированно, не давать ему никаким образом (в т.ч. из дополнений типа flash) открывать прямые соединения, читать пользовательские файлы. То есть не доверять TB, предполагать наличие в нем уязвимостей (чтение файлов, деанонимизация, выполнение кода и т.п.).

Решил, что нужно запускать TB от имени специально обученного пользователя (допустим, toruser). Этот пользователь имеет шелл /bin/false, не может читать файлы полноценного пользователя и на уровне пакетного фильтра ограничен открытием соединений только с локалхостом, с портами tor. Сам сервис tor запущен под другим пользователем (скажем, tor), чтобы на него не распространялись ограничения пакетного фильтра. Очевидно, в этом случае нужно настроить TB таким образом, чтобы он не запускал собственный сервис tor (по умолчанию он это делает), а подключался к системному. Чтобы TB запустился, ему нужно подключаться к xserver, т.е. необходимо куку авторизации на сервере ему при запуске передавать. Да, это своего рода слабое место, т.к. через уязвимость в TB можно грабить экран и логировать клавиатуру, и даже можно теоретически проэксплуатировать уязвимость в xserver и получить root (где там ваш wayland?). Но пока видимо это неизбежное зло, если не хочется прибегать к честной виртуализации (которая, впрочем, тоже может быть дырявой).

Я ниже выложу свои скрипты, которые такой сетап позволяют (кое-как) использовать, но скажу заранее, что он у меня не прижился, т.к. по непонятным причинам TB в песочнице вел себя неадекватно. В целом работал, но иконка управления сервисом tor показывала, что тор выключен, а при попытке открыть любое (!) меню, в т.ч. контекстное браузер зависал на минуту где-то, потом, правда, приходил в себя. Хочется отладить эти проблемы и заодно провести аудит безопасности силами лоровских спецов по всему.

 , ,

anonymous3
()

RSS подписка на новые темы