LINUX.ORG.RU

Ответ на: комментарий от Dementy

А от другого пользователя чего?

Системы. Чтобы ограничить доступ запущенного Firefox к домашним каталогам. Как я понял многие делают под Firefox отдельного пользователя, чтобы из под него выходить.

Про профили читал, но насколько они в плане безопасности надежны? Т.е., как я понимаю, запуск из-под отдельного пользователя не причинит вреда (кражи) данным, находящимся в папках другого пользователя.

My555 ()

gksu – вариант, но он устарел, вместо него можно юзать qsudo. Нужно это, чтобы без проблем разрулить права в иксах. С консольными прогами можно просто sudo или su юзать.

ionanahin ★★★ ()
Ответ на: комментарий от julixs

Нужно тем, кто заботится приватностью личного пространства.

Нужно затем, зачем запускают сетевые сервисы и некоторые демоны от отдельного пользователя, — это добавляет безопасности в виде разграничения доступа к файлам обычными unix-style правами доступа.

ТС я бы посоветовал дополнительно запускать в какой-то песочнице, например, AppArmor, а также посмотреть в сторону firejail или запуска в отдельном X-сервере/Wayland.

Pravorskyi ★★ ()
Последнее исправление: Pravorskyi (всего исправлений: 1)
Ответ на: комментарий от Pravorskyi

сетевые сервисы и некоторые демоны от отдельного пользователя

Тут как раз все понятно.

Не совсем понятно зачем это для браузера на декстопе. Если все же всему виной забота о

приватности личного пространства

то не проще

запускать в какой-то песочнице, например, AppArmor, а также посмотреть в сторону firejail или запуска в отдельном X-сервере/Wayland.

julixs ()
Ответ на: комментарий от Pravorskyi

это добавляет безопасности в виде разграничения доступа к файлам

Так-то оно да...

Но есть ~/.mozilla/firefox/, а там еще каталоги профилей. Вот там Файрфокс и куролесит. Туда и скрипты пишет, если что. По ощущениям, Файрфокс достаточно тщательно делает, чтобы профили друг про друга вообще не знали. А если он это обеспечивает, то сделать, чтобы выше ~/.mozilla/firefox/ не лезло, он тем более может. Интересно, как оно там на самом деле...

Записывать и смотреть файлы он может в любых местах, доступных юзеру, который его запустил. Но, чтобы они, если что, запустили что-то вредное, это же надо руками наблудить.

Dementy ()
Ответ на: комментарий от Dementy

Записывать и смотреть файлы он может в любых местах, доступных юзеру, который его запустил. Но, чтобы они, если что, запустили что-то вредное, это же надо руками наблудить.

Здесь больше превентивная защита обсуждается, когда песочница внутри браузера пробита и в худшем случае злоумышленник запускает код от имени пользователя, от которого запущен браузер.

Достаточно посмотреть историю CVE для браузеров (в т.ч. Firefox) за последние несколько лет, чтобы убедиться, что уязвимости были, есть и будут. Вопрос только, когда очередная уязвимость будет использована против %username%.

Pravorskyi ★★ ()
Ответ на: комментарий от julixs

Надо спросить у ТС.

Если не хватает знаний или времени разбираться с полноценными песочницами, то запустить из-под другого пользователя — намного быстрее. Главное, не забыть проверить права доступа в /home.

А с остальным можно разобраться позже.

Pravorskyi ★★ ()
Ответ на: комментарий от Karrham

А если к примеру настроить AppArmor и огородить FF, чтобы он мог копошиться только в указанных местах?

Про AppArmor слышал, но т.к. с Linux только знакомлюсь, интересует насколько он действительно «ограждает» и были ли какие-нибудь критические уязвимости?

Кстати, есть ли вариант ограничить не FF (или другое потенциально опасное приложение), а папку/диск с важными данными. Например, хранить данные на флешке и чтобы доступ на чтение/запись имела одна-две программы?

My555 ()
Ответ на: комментарий от Pravorskyi

Когда уже появится дистрибутив в котором из коробке все будет запускаться в песочницах, ведь уже давно есть cgroups/netns/selinux(apparmor) и оно работает! Вот только недружелюбно в настройке для конечного пользователя.

anonymous ()
Ответ на: комментарий от Pravorskyi

В Debian из коробки AppArmor применяется к некоторому софту. Список пополняется

Я как раз на AppArmor и остановился. Поначалу хотел собственный профиль сгенерировать, но потом посмотрел, что есть под Mozilla готовый в репозитории (аналогичный как и в Ubuntu) посмотрел и поставил его.

My555 ()