Существует ли способ запретить доступа Firefox к файлам в корневом каталоге? Каждый раз, когда свет модема ADSL мигает подозрительно, я волнуюсь по поводу своих файлов, передаваемых хакеру.
Понимание пересмотренного, соединяющегося Dmytro относительно необходимых команд xhost, лучшего использования sudo
создание этого намного более простого, и оборудование /home/foxy/
с необходимыми файлами. Работы для меня на 16,04 с плоскостью Openbox (как более минимизированный Lubuntu).
Да, Вы могли сделать это. Создайте другую учетную запись пользователя, мы назовем ее "лисьей", или с чем-то как Параметры настройки системы, или из командной строки:
sudo adduser foxy
Теперь необходимо предоставить тому пользователю файлы конфигурации, должен был использовать Firefox. Можно, вероятно, сделать это наиболее правильно путем перевхода как лисьи и выполнения его оттуда, но я нашел, что было достаточно скопировать "скрытые" "точечные файлы", как .config
и .mozilla
из моего корневого каталога в /home/foxy/
И затем:
chown -R foxy:foxy /home/foxy
На данном этапе, так как Вы не должны должны быть когда-либо входить в систему как лисьи больше, это могла бы быть хорошая идея изменить пароль foxy к некоторой нелепо длинной и случайной строке. Серьезно длинный и случайный, так как Вы не должны будете помнить это. Это подобно подходу, используемому Ubuntu для полузапрещения корневой учетной записи. Это не реальное грандиозное предприятие, так как лисий не будет в sudoers файле так или иначе, но, пока мы - серьезно твердый осел 'noid, давайте пойдем полностью. Так как необходимо будет ввести его дважды, Вы захотите, чтобы это в буфере обмена или в открытом терминале или редакторе скопировало его с. Но бойтесь писать это в диск. Вы могли даже сделать и смонтировать ramfs файловую систему и записать текстовый файл в него, затем открыть текстовый файл и создать свою долгую случайную строку в нем и скопировать оттуда. В специальных целях высокой безопасности ramfs превосходит tmpfs, потому что он никогда не пишется для свопинга. (Но будьте тщательным использованием его в более общем плане, потому что это будет бодро использовать ВСЮ Вашу RAM, если Вы будете продолжать помещать вещи в него.) Так или иначе, для изменения пароля foxy используйте:
sudo passwd foxy
Теперь мы делаем 2 крошечных сценария. Мы назовем первый ffx
и помещенный это в некоторый каталог на пути. Как это:
#!/bin/bash
# This file, ffx, needs to go in a directory on the path
sudo /path/to/a_password_exempted_directory/ffx_2.sh
(Вы могли, вероятно, сделать это как функцию или исказить и загрузить ее Вашим профилем удара или одним из подобных файлов, вместо того, чтобы делать ее сценарием на Вашем пути, если Вы предпочитаете, но я не протестировал это.)
Другой мы назовем ffx_2.sh и вставим каталог, который был освобожден от требования ввода пароля с sudo с соответствующими строками в /etc/sudoers
. Как это:
#!/bin/bash
# This needs to go in a directory that is exempted from password requirement in /etc/sudoers
# Allows foxy to access the logged in user's xserver
xhost nis:foxy@
# starts firefox as foxy with home set to /home/foxy
sudo -u foxy --set-home firefox
# Removes foxy's privilege to use the xserver
xhost -nis:foxy@
Я следую за Dmytro 'noid подход и включаю доступ foxy к X-серверу только при использовании Firefox и выключении его впоследствии. Я не думаю, что это на самом деле необходимо. Возможно, это более безопасно, но это не очевидно для меня. Я думаю, что можно на самом деле просто выполнить первую команду xhost:
xhost nis:foxy@
ОДНАЖДЫ и затем доступ foxy сохранится через перезагрузки. Если я прав, и Вы делаете это тот путь, можно взять обоих команды xhost из сценария после выполнения первой команды однажды.
Так или иначе можно вызвать это с ffx
от терминального, выполненного поля или вручную отредактированного меню как меню Openbox или 9menu. Можно сделать файл на рабочем столе для него и вставить его /usr/share/applications
и адаптивные меню как debian меню от пакета menu
или, мне говорят, Launcher
в Единице, должен взять на нем.
Для предупреждения возражения это не угроза безопасности как плоскость sudo firefox
или gksudo firefox
был бы. Sudo и подобные команды существенно о выполнении чего-то как некоторый другой пользователь. Но они используются для делания чего-то КОРЕНЬ AS так часто, они принимают значение по умолчанию к -u root
(который можно также сделать явно) сохранить нажатия клавиш. Это не использует sudo с Firefox, который опасен, это использует sudo для выполнения Firefox КОРЕНЬ AS, который опасен. Когда Вы используете -u
опция и указывает другого обычного пользователя, Вы не запускаете Firefox как корень.
Сравнение с блокирующим сценарий подходом:
недостатки:
больше работы для реализации, чем noscript или librescript
меньше "стандартного" подхода
блокировщики сценария CAN уменьшает использование ресурсов, это не делает
профессионалы:
Firefox может получить доступ ко всем функциям зависимых веб-сайтов сценария.
Не требует никакой тонкой настройки после начального внедрения.
Легче использовать.
Можно ВСЕ ЕЩЕ использовать расширения Firefox для сокращения использования ресурсов. Noscript не является единственной опцией для этого. Flashblock, FlashStopper, Gifblock, Блок Изображения, и т.д.
Как простое и простое решение, можно установить расширение noscript Firefox.
По умолчанию это отключает локальный доступ к файлу. Вы видите его в noscript
опции → вкладка Advanced → подзакладка ABE → СИСТЕМНЫЕ правила.
Это также позволяет Вам глобально управлять выполнением JavaScript, и на на доменное основание. Если Вам не нужны они функция, можно отключить в настройках внутреннего абонента (но согласно точке зрения вопроса, я думаю, что Вы найдете это полезным).
можно получить больше информации в их веб-сайте noscript.net .