Как запустить браузер в изолированной среде на Linux?

Question

[Кирилл Трифин]

Есть машина, работающая на Linux, десктоп. Задача следующая: запустить браузер Firefox в изолированной среде, чтобы все файлы скриптов, html-страниц, css-стилей, изображений и все остальное сохранялись только в пределах изолированной среды. Проще говоря, браузер не должен иметь доступа к основной системе. К сожалению, виртуалка не вариант — машина всего с 3 Гб оперативной памяти.

Answer 1

[mayton2019]

Заведи себе пользователя-болвана. И от имени него запускай браузер. Ну а после работы можешь каждый раз убивать его профиль на локальном диске.

Вообще если ты настолько беспокойный кабанчик что тебе надо именно сильная изоляция то посмотри на такие флешки-операционки как tails https://tails.boum.org/ они вот спецом созданы для мамкиных хакеров. Ничего не остаётся после них. Можешь прон смотреть. Или вещества в торе покупать. Или в хабре писать. Вобщем все можно.

Comments

[Кирилл Трифин]

Изоляция — это защита от сетевых атак. Про каких "мамкиных хакеров" здесь может идти речь непонятно. Что касается Tails Linux, то данная ОС в принципе создавалась для других целей.

[mayton2019]

Кирилл Трифин, решение с изолированным пользовалем чем тебе не подходит?

А про сетевые атаки это ты мил человек что-то краски сгущаешь.
Браузер работает пока работает JavaScript. Это тезис. И браузер
работает пока есть сеть. Это тоже тезис.

Ты согласен с этими тезисами. Просто у меня сложилось впечатление
что ты начитался науч-попа.

[Павел]

А с хабром, что не так?

Answer 2

[Владимир Куц]

selenium/standalone-chrome в докер-контейнере
Впритык конечно, учитывая прожорливость хрома - но 3 Гигабайта оперативки должно хватить.

Answer 3

[Руслан Федосеев]

не работайте от рута.....

Comments

[Кирилл Трифин]

Разумеется. Тем не менее даже если работать от непривилегированного юзера, всегда есть вероятность, что машину будут атаковать. Изоляция — это защита от сетевых атак. Вредоносный код не сможет выполниться, потому что браузер запущен в изолированной среде.

[Руслан Федосеев]

в смысле не сможет выполниться??
Все он сможет. Но повлиять ни на что не получится.

Answer 4

[rPman]

в linux уже давно имеется грамотная изоляция (песочница, сравнимая с виртуальной машиной, с оговорками по доступу к железу типа gpu) на основе cgroup, например lxc, если пользуешься интерфейсами виртуальных машин libvirt то там создать машину lxc так же удобно как любую другую, и при этом накладных расходов на запуск такой машины практически не будет

легкие проблемы будут для предоставлении доступа такой машине к GUI (xserver), там есть разные варианты, самый простой для реализации - настройка сети между lxc виртуалкой и хост машиной, настройка разрешений с помощью xhost и в lxc прописываешь DISPLAY на хост машину.

p.s. еще проще, настроить ssh сервер в этой виртуалке и подключившись к ней ssh -Y yyy@xxx запускать браузер как у себя (будет незаметный оверхед по процессору на шифрование трафика ssh)
------------

я надеюсь вопрос был задан корректно и тебе действительно нужно изолировать БРАУЗЕР а не веб-приложения, запускаемые в нем? так как для второго достаточно просто штатные профили браузера.

Answer 5

[kalapanga]

Виртуальная машина.

Comments

[Кирилл Трифин]

К сожалению, не вариант. Машина всего с 3 Гб оперативной памяти, не потянет виртуалку.

Answer 6

[CityCat4]

Что значит "изолированная среда", что значит "основная система" и самое главное - какие проблемы будут такой установкой решаться?

Решение задачи защиты информации всегда начинается с модели нарушителя...

Answer 7

[ewgenc]

Диски отключить физически, грузится с флешки. Каждая загрузка - новая чистая система. Враги не пройдут.

Answer 8

[Anselm_nn]

Fairjail

Answer 9

[Imagica]

Может поможет использование snap или flatpak версии браузера?
Snap и flatpak вроде бы сами по себе работают в песочнице. Плюс настройки доступа для программ из flat можно регулировать через Flatseal.

Answer 10

[4144]

Для изоляции приложений может применяться firejail. Для большей изоляции создаете свой профиль на основе firefox, и устанавливаете другой home dir. Если нужно еще большая изоляция, добавляете вложенный xserver.

Можете также попробовать что-то на основе docker или podman. Podman лучше, т.к. не дает права рута для обычного пользователя. Для докера есть утилиты со вложенным xserver'ом тоже.
Еще есть subuser, на основе докера. Работает ли он с podman, не знаю, не проверял.

Answer 11

[Алексей]

Можно через Docker запустить. Например, есть готовый контейнер: https://hub.docker.com/r/linuxserver/firefox
Интерфейс "изолированного" браузера открывается как страница в базовом браузере