매일 사용하는 사용자(XY)가 아닌 다른 사용자(XY)를 사용하여 OpenBSD 데스크탑에서 웹 브라우저(xxxterm)를 실행하고 싶습니다. 내 로컬 컴퓨터에서 ssh -X를 사용하여 브라우저에 액세스하겠습니다(또는 더 나은 솔루션이 있습니까?). 웹 브라우저에는 오디오, 플래시, html5, JAVA, 플러그인, JAVASCRIPT 등이 필요하지 않습니다.
가능한 최소한의 권한을 가진 사용자를 생성하는 방법은 무엇입니까? 스킬이 있나요? (사용자는 다른 그룹이 아닌 자신의 그룹에만 속하면 되나요?)
키워드/팁을 검색한 후 몇 시간 동안 검색한 후 나중에 "확장"해야 했습니다(미니 가이드).
mount /home with nodev, nosuid, noexec AND/OR with read-only option?
set high umask for users that are not XY
minimal groups needed for user
regularly check that the user isn't in the sudoers file
no o+rwx on the files in the system or suids
**restricted shell for the user?**
systrace restrictions? (or doesn't worth it?*)
pf limitations - user uid only needs http https ftp dns - no other network needed for any user besides root
put the webbrowsing in a qemu vm??
security/limits.conf - ulimit for the user?
chroot the xxxterm?
xxxterm as shell? (instead of ksh?)
only let a few dozen MByte quota for the user or zero?
guest session like? - start with a clear QEMU guest or chrome directory at every chrome exit/start?
privoxy for filtering chrome traffic? (proxy can be set to anything by the XY user..)
can pf limit that what process can use http https ftp dns?
이 가이드가 완성된다면 좀비 터미네이터 아포칼립스 에서 유용할 것 같습니다 :D
답변1
(질문 제목에도 불구하고) 작은 샌드박스 외부의 어떤 것에도 영향을 미칠 수 없는 완전히 격리된 브라우저 인스턴스를 원한다면 간단히 가상 머신을 실행하고 어떤 방식으로든 전달하는 것이 좋습니다. 그것에 연결하다X11 전달 제외. 이 경우 SSH를 사용하는지, 암호화를 사용하는지 여부는 중요하지 않습니다. 실제로 전송 중인 데이터를 보호하고 싶지 않고 하나의 애플리케이션을 다른 모든 애플리케이션으로부터 격리하기를 원하기 때문입니다. 브라우저와 그 밖의 모든 것을 실행하십시오. 브라우저에 관한 한, 운영 체제가 가상 머신에 설치되어 있는 것으로 보고 해당 영향권 외부에는 아무것도 없습니다.
VNC, Microsoft Remote Desktop 또는 이와 유사한 것이 작동합니다. X11 전달은 이러한 대안이 제공하지 않는 방식으로 원시 데이터 스트림을 노출하기 때문에 더 이상 사용되지 않습니다. 이렇게 하면 양쪽에서 실행되는 악성 애플리케이션이 사용자가 수행하는 모든 작업을 스누핑하여 보안상의 이점을 무효화할 수 있습니다. (이것은 루트가 필요하지 않으며 X 세션이 있기 때문에 자신의 액세스만 필요합니다.) 물론 브라우저가 허용하는 경우웹 페이지그러한 데이터에 액세스하십시오.
가상 머신 외부에서 실행되는 악성 애플리케이션이 가상 머신 내부의 브라우저를 사용하여 수행하는 작업을 스누핑하는 것을 방지할 수는 없지만, 가상 머신 내부의 악성 애플리케이션이 가상 머신 외부에서 실행 중인 모든 항목을 스누핑하는 것을 방지해야 합니다.