Um webbrowser é um ótimo vetor de ataque, já que as pessoas o usam para acessar a Internet "perigosa". Coisas muito ruins podem entrar na área de trabalho.
Então, em geral, para um desktop, podemos fazer o seguinte: ter um usuário separado *, ex .: "firefox" que usamos apenas para executar o navegador Firefox.
vi /etc/ssh/sshd_config
Ports 44444 # increased port number to avoid simpler automated attacks
ListenAddress 127.0.0.1 # only listen on localhost!
PasswordAuthentication no # allow only pubkey
PubkeyAuthentication yes # allow only pubkey
etc.
And of course we could limit in pf who can have access to port 44444, have port knocking, etc.
Em seguida, o "usuário" normal inicia o firefox com este
ssh -p 44444 [email protected] -X /home/firefox/.firefox/firefox-bin > /dev/null 2>&1
A pergunta é: Existe alguma solução melhor para usar o navegador da Web com um usuário separado? Não encontrei "gksu" nas portas. Perguntando especificamente para o OpenBSD usando o FVWM padrão.
Por que a solução SSH não está OK? AFAIK:
- Using "ssh -X" is not a very secure solution
- Using "ssh -X" can cause performance problems for the webbrowser
* usando um usuário separado, podemos limitar o ataque, para que o invasor não veja os arquivos privados do "usuário" normal do usuário, se ele acessar a área de trabalho pelo navegador.
UPDATE # 1: a função de copiar e colar deve funcionar para o navegador que usamos com o usuário separado.