bugnikork
@bugnikork
Чем мрачнее день, тем светлее ночь…

Как запустить браузер в изолированной среде на Linux?

Есть машина, работающая на Debian 10, десктоп. Задача следующая: запустить браузер Firefox в изолированной среде, чтобы все файлы скриптов, html-страниц, css-стилей, изображений и все остальное сохранялись только в пределах изолированной среды. Проще говоря, браузер не должен иметь доступа к основной системе. К сожалению, виртуалка не вариант — машина всего с 3 Гб оперативной памяти.
  • Вопрос задан
  • 466 просмотров
Пригласить эксперта
Ответы на вопрос 11
@mayton2019
Bigdata Engineer
Заведи себе пользователя-болвана. И от имени него запускай браузер. Ну а после работы можешь каждый раз убивать его профиль на локальном диске.

Вообще если ты настолько беспокойный кабанчик что тебе надо именно сильная изоляция то посмотри на такие флешки-операционки как tails https://tails.boum.org/ они вот спецом созданы для мамкиных хакеров. Ничего не остаётся после них. Можешь прон смотреть. Или вещества в торе покупать. Или в хабре писать. Вобщем все можно.
Ответ написан
@AlexVWill
Прежде чем что-то советовать, хотелось бы определиться в понятиях,
браузер не должен иметь доступа к основной системе
что ты под этим подразумеваешь? Браузер, запускаемый от имени вошедшего пользователя и так работает в изолированной среде, т.е. к системе как таковой он не имеет доступа. Все настройки, кукис, сторис и пр. хранятся в папке ~/.local/share (если это Chromium), ну или ~/.mozilla если это Firefox.
Это справедливо и для других программ, которые не запускаются от root или пользователя с sudo.
Ответ написан
fox_12
@fox_12
Расставляю биты, управляю заряженными частицами
selenium/standalone-chrome в докер-контейнере
Впритык конечно, учитывая прожорливость хрома - но 3 Гигабайта оперативки должно хватить.
Ответ написан
Комментировать
martin74ua
@martin74ua Куратор тега Linux
Linux administrator
не работайте от рута.....
Ответ написан
@rPman
в linux уже давно имеется грамотная изоляция (песочница, сравнимая с виртуальной машиной, с оговорками по доступу к железу типа gpu) на основе cgroup, например lxc, если пользуешься интерфейсами виртуальных машин libvirt то там создать машину lxc так же удобно как любую другую, и при этом накладных расходов на запуск такой машины практически не будет

легкие проблемы будут для предоставлении доступа такой машине к GUI (xserver), там есть разные варианты, самый простой для реализации - настройка сети между lxc виртуалкой и хост машиной, настройка разрешений с помощью xhost и в lxc прописываешь DISPLAY на хост машину.

p.s. еще проще, настроить ssh сервер в этой виртуалке и подключившись к ней ssh -Y yyy@xxx запускать браузер как у себя (будет незаметный оверхед по процессору на шифрование трафика ssh)
------------

я надеюсь вопрос был задан корректно и тебе действительно нужно изолировать БРАУЗЕР а не веб-приложения, запускаемые в нем? так как для второго достаточно просто штатные профили браузера.
Ответ написан
Комментировать
@kalapanga
Виртуальная машина.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Жил-был у бабушки серенький троллик...
Что значит "изолированная среда", что значит "основная система" и самое главное - какие проблемы будут такой установкой решаться?

Решение задачи защиты информации всегда начинается с модели нарушителя...
Ответ написан
Комментировать
@ewgenc
Диски отключить физически, грузится с флешки. Каждая загрузка - новая чистая система. Враги не пройдут.
Ответ написан
Комментировать
@Anselm_nn
Fairjail
Ответ написан
Комментировать
@Imagica
Может поможет использование snap или flatpak версии браузера?
Snap и flatpak вроде бы сами по себе работают в песочнице. Плюс настройки доступа для программ из flat можно регулировать через Flatseal.
Ответ написан
Комментировать
@4144
Для изоляции приложений может применяться firejail. Для большей изоляции создаете свой профиль на основе firefox, и устанавливаете другой home dir. Если нужно еще большая изоляция, добавляете вложенный xserver.

Можете также попробовать что-то на основе docker или podman. Podman лучше, т.к. не дает права рута для обычного пользователя. Для докера есть утилиты со вложенным xserver'ом тоже.
Еще есть subuser, на основе докера. Работает ли он с podman, не знаю, не проверял.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы