Sandboxing Chrome (ou outro navegador)

0

Estou desejando executar o Chrome com um diretório inicial criptografado (Ubuntu), mas quero ter certeza de que nada está vazando fora do diretório criptografado, como / tmp. Como posso conseguir isso? Apparmour? Executando um aplicativo GUI no docker? De preferência não uma VM. Como poderei verificar se está funcionando?

    
por sanboxbrowserperson 20.08.2017 / 20:07

1 resposta

0

Se você montar / tmp como tmpfs, ele existirá inteiramente na memória e não tocará no disco. Isso também tem o benefício de diminuir a latência e aumentar a velocidade ou os acessos. Se você não pode fazer isso, então sim, como você disse, o AppArmor ou algo semelhante é provavelmente a melhor aposta. Isso também ajudaria a proteger você de um navegador comprometido.

Um teste simples para ver se funcionou é colocar file:///tmp/ no omnibar e ver se ele é carregado e, em seguida, verificar dmesg para ver se o AppArmor negou o acesso. Se a política do AppArmor da sua distribuição não bloquear o acesso a / tmp por padrão, você poderá substituir esse comportamento executando o seguinte:

# echo "deny /tmp/ w," >> /etc/apparmor.d/local/usr.bin.chrome
# echo "deny /tmp/** w," >> /etc/apparmor.d/local/usr.bin.chrome

Em seguida, reinicie o AppArmor ( /etc/init.d/apparmor reload ) e reinicie o navegador. Verifique se o caminho está correto e está no caminho apparmor.d/local ou será substituído na próxima atualização. Você pode achar esses recursos úteis:

link

link

    
por 13.11.2017 / 12:35