Firefox den Zugriff auf das Home-Verzeichnis verweigern

Question 1

Überarbeitet, unter Einbeziehung von Dmytros Erkenntnissen zu den erforderlichen xhost-Befehlen, besserer Nutzung der sudoVereinfachung und Ausstattung /home/foxy/mit den erforderlichen Dateien. Funktioniert bei mir unter 16.04 mit einfachem Openbox (wie ein schlankeres Lubuntu).

Ja, das können Sie tun. Erstellen Sie ein weiteres Benutzerkonto, wir nennen es „foxy“, entweder über etwas wie „Systemeinstellungen“ oder über eine Befehlszeile:

sudo adduser foxy

Jetzt müssen Sie diesem Benutzer die Konfigurationsdateien bereitstellen, die er für die Verwendung von Firefox benötigt. Am einfachsten geht das wahrscheinlich, wenn Sie sich erneut als Foxy anmelden und es von dort aus tun, aber ich habe festgestellt, dass es ausreicht, die „versteckten“ „Punktdateien“ wie .configund .mozillaaus meinem Home-Verzeichnis in /home/foxy/& zu kopieren und dann:

chown -R foxy:foxy /home/foxy

Da Sie sich an diesem Punkt nicht mehr als Foxy anmelden müssen, wäre es vielleicht eine gute Idee, Foxys Passwort auf eine absurd lange und zufällige Zeichenfolge zurückzusetzen. Wirklich lang und zufällig, da Sie es sich nicht merken müssen. Dies ähnelt dem Ansatz, den Ubuntu verwendet, um das Root-Konto teilweise zu deaktivieren. Das ist keine große Sache, da Foxy sowieso nicht in der Sudoers-Datei sein wird, aber wenn wir schon ganz hart im Nehmen sind, machen wir es gleich richtig. Da Sie es zweimal eingeben müssen, sollten Sie es in der Zwischenablage oder in einem offenen Terminal oder Editor haben, von dem Sie es kopieren können. Aber seien Sie vorsichtig, dass Sie es nicht auf ein Laufwerk schreiben. Sie könnten sogar ein Ramfs-Dateisystem erstellen und mounten und eine Textdatei hineinschreiben, dann die Textdatei öffnen und Ihre lange zufällige Zeichenfolge darin erstellen und von dort kopieren. Für spezielle Hochsicherheitszwecke ist Ramfs tmpfs überlegen, da es nie in den Swap geschrieben wird. (Seien Sie jedoch vorsichtig, wenn Sie es im Allgemeinen verwenden, da es munter Ihren GESAMTEN RAM verbraucht, wenn Sie weiterhin Dinge darin ablegen.) Um Foxys Passwort zu ändern, verwenden Sie jedenfalls:

sudo passwd foxy

Nun erstellen wir zwei kleine Skripte. Das erste rufen wir auf ffxund legen es in einem Verzeichnis auf dem Pfad ab. So:

#!/bin/bash    
# This file, ffx, needs to go in a directory on the path
sudo /path/to/a_password_exempted_directory/ffx_2.sh

(Wenn Sie möchten, können Sie das wahrscheinlich als Funktion oder Alias tun und es mit Ihrem Bash-Profil oder einer der ähnlichen Dateien laden, anstatt es zu einem Skript auf Ihrem Pfad zu machen, aber ich habe das nicht getestet.)

Die andere Datei nennen wir ffx_2.sh und legen sie in einem Verzeichnis ab, das von der Passworteingabepflicht mit sudo ausgenommen ist, mit den entsprechenden Zeilen in /etc/sudoers. So:

#!/bin/bash
# This needs to go in a directory that is exempted from password requirement in /etc/sudoers

# Allows foxy to access the logged in user's xserver
xhost nis:foxy@

# starts firefox as foxy with home set to /home/foxy
sudo -u foxy --set-home firefox

# Removes foxy's privilege to use the xserver
xhost -nis:foxy@

Ich folge Dmytros Noid-Ansatz und aktiviere Foxys Zugriff auf den X-Server nur, wenn ich Firefox verwende, und schalte ihn danach wieder aus. Ich glaube nicht, dass das wirklich notwendig ist. Vielleicht ist es sicherer, aber das ist mir nicht klar. Ich glaube, Sie können eigentlich einfach den ersten Xhost-Befehl ausführen:

xhost nis:foxy@

EINMAL und dann bleibt der Zugriff von Foxy auch nach Neustarts bestehen. Wenn ich richtig liege und Sie es so machen, können Sie beide xhost-Befehle aus dem Skript nehmen, nachdem Sie den ersten Befehl einmal ausgeführt haben.

In jedem Fall können Sie dies über ffxein Terminal, eine Runbox oder ein manuell bearbeitetes Menü wie das Openbox-Menü oder 9menu aufrufen. Sie können eine Desktop-Datei dafür erstellen und sie einfügen /usr/share/applicationsund adaptive Menüs wie das Debian-Menü aus dem Paket menuoder, wie mir gesagt wurde, Launcherin Unity sollten es aufgreifen.

Um einem Einwand vorzugreifen: Dies ist KEIN Sicherheitsrisiko, wie es schlicht sudo firefoxund gksudo firefoxergreifend der Fall wäre. Bei Sudo und ähnlichen Befehlen geht es grundsätzlich darum, etwas als ein anderer Benutzer zu tun. Sie werden jedoch so oft verwendet, um etwas ALS ROOT zu tun, dass sie standardmäßig -u root(was Sie auch explizit tun können) dazu verwendet werden, Tastenanschläge zu sparen. Es ist nicht die Verwendung von Sudo mit Firefox, die gefährlich ist, sondern die Verwendung von Sudo, um Firefox ALS ROOT auszuführen. Wenn Sie die -uOption verwenden und einen anderen normalen Benutzer angeben, führen Sie Firefox nicht als Root aus.

Vergleich mit dem Script-Blocking-Ansatz:

Nachteile:

mehr Implementierungsarbeit als bei Noscript oder Librescript
weniger ein „Standard“-Ansatz
Skriptblocker KÖNNEN den Ressourcenverbrauch reduzieren, dies ist jedoch nicht der Fall.

Profis:

Firefox kann auf alle Funktionen skriptabhängiger Websites zugreifen.
Nach der ersten Implementierung sind keine Anpassungen mehr erforderlich.
Einfacher zu verwenden.
Sie können IMMER NOCH Firefox-Erweiterungen verwenden, um den Ressourcenverbrauch zu reduzieren. Noscript ist dafür nicht die einzige Option. Flashblock, FlashStopper, Gifblock, Image Block usw.

Answer

Überarbeitet, unter Einbeziehung von Dmytros Erkenntnissen zu den erforderlichen xhost-Befehlen, besserer Nutzung der sudoVereinfachung und Ausstattung /home/foxy/mit den erforderlichen Dateien. Funktioniert bei mir unter 16.04 mit einfachem Openbox (wie ein schlankeres Lubuntu).

Ja, das können Sie tun. Erstellen Sie ein weiteres Benutzerkonto, wir nennen es „foxy“, entweder über etwas wie „Systemeinstellungen“ oder über eine Befehlszeile:

sudo adduser foxy

Jetzt müssen Sie diesem Benutzer die Konfigurationsdateien bereitstellen, die er für die Verwendung von Firefox benötigt. Am einfachsten geht das wahrscheinlich, wenn Sie sich erneut als Foxy anmelden und es von dort aus tun, aber ich habe festgestellt, dass es ausreicht, die „versteckten“ „Punktdateien“ wie .configund .mozillaaus meinem Home-Verzeichnis in /home/foxy/& zu kopieren und dann:

chown -R foxy:foxy /home/foxy

Da Sie sich an diesem Punkt nicht mehr als Foxy anmelden müssen, wäre es vielleicht eine gute Idee, Foxys Passwort auf eine absurd lange und zufällige Zeichenfolge zurückzusetzen. Wirklich lang und zufällig, da Sie es sich nicht merken müssen. Dies ähnelt dem Ansatz, den Ubuntu verwendet, um das Root-Konto teilweise zu deaktivieren. Das ist keine große Sache, da Foxy sowieso nicht in der Sudoers-Datei sein wird, aber wenn wir schon ganz hart im Nehmen sind, machen wir es gleich richtig. Da Sie es zweimal eingeben müssen, sollten Sie es in der Zwischenablage oder in einem offenen Terminal oder Editor haben, von dem Sie es kopieren können. Aber seien Sie vorsichtig, dass Sie es nicht auf ein Laufwerk schreiben. Sie könnten sogar ein Ramfs-Dateisystem erstellen und mounten und eine Textdatei hineinschreiben, dann die Textdatei öffnen und Ihre lange zufällige Zeichenfolge darin erstellen und von dort kopieren. Für spezielle Hochsicherheitszwecke ist Ramfs tmpfs überlegen, da es nie in den Swap geschrieben wird. (Seien Sie jedoch vorsichtig, wenn Sie es im Allgemeinen verwenden, da es munter Ihren GESAMTEN RAM verbraucht, wenn Sie weiterhin Dinge darin ablegen.) Um Foxys Passwort zu ändern, verwenden Sie jedenfalls:

sudo passwd foxy

Nun erstellen wir zwei kleine Skripte. Das erste rufen wir auf ffxund legen es in einem Verzeichnis auf dem Pfad ab. So:

#!/bin/bash    
# This file, ffx, needs to go in a directory on the path
sudo /path/to/a_password_exempted_directory/ffx_2.sh

(Wenn Sie möchten, können Sie das wahrscheinlich als Funktion oder Alias tun und es mit Ihrem Bash-Profil oder einer der ähnlichen Dateien laden, anstatt es zu einem Skript auf Ihrem Pfad zu machen, aber ich habe das nicht getestet.)

Die andere Datei nennen wir ffx_2.sh und legen sie in einem Verzeichnis ab, das von der Passworteingabepflicht mit sudo ausgenommen ist, mit den entsprechenden Zeilen in /etc/sudoers. So:

#!/bin/bash
# This needs to go in a directory that is exempted from password requirement in /etc/sudoers

# Allows foxy to access the logged in user's xserver
xhost nis:foxy@

# starts firefox as foxy with home set to /home/foxy
sudo -u foxy --set-home firefox

# Removes foxy's privilege to use the xserver
xhost -nis:foxy@

Ich folge Dmytros Noid-Ansatz und aktiviere Foxys Zugriff auf den X-Server nur, wenn ich Firefox verwende, und schalte ihn danach wieder aus. Ich glaube nicht, dass das wirklich notwendig ist. Vielleicht ist es sicherer, aber das ist mir nicht klar. Ich glaube, Sie können eigentlich einfach den ersten Xhost-Befehl ausführen:

xhost nis:foxy@

EINMAL und dann bleibt der Zugriff von Foxy auch nach Neustarts bestehen. Wenn ich richtig liege und Sie es so machen, können Sie beide xhost-Befehle aus dem Skript nehmen, nachdem Sie den ersten Befehl einmal ausgeführt haben.

In jedem Fall können Sie dies über ffxein Terminal, eine Runbox oder ein manuell bearbeitetes Menü wie das Openbox-Menü oder 9menu aufrufen. Sie können eine Desktop-Datei dafür erstellen und sie einfügen /usr/share/applicationsund adaptive Menüs wie das Debian-Menü aus dem Paket menuoder, wie mir gesagt wurde, Launcherin Unity sollten es aufgreifen.

Um einem Einwand vorzugreifen: Dies ist KEIN Sicherheitsrisiko, wie es schlicht sudo firefoxund gksudo firefoxergreifend der Fall wäre. Bei Sudo und ähnlichen Befehlen geht es grundsätzlich darum, etwas als ein anderer Benutzer zu tun. Sie werden jedoch so oft verwendet, um etwas ALS ROOT zu tun, dass sie standardmäßig -u root(was Sie auch explizit tun können) dazu verwendet werden, Tastenanschläge zu sparen. Es ist nicht die Verwendung von Sudo mit Firefox, die gefährlich ist, sondern die Verwendung von Sudo, um Firefox ALS ROOT auszuführen. Wenn Sie die -uOption verwenden und einen anderen normalen Benutzer angeben, führen Sie Firefox nicht als Root aus.

Vergleich mit dem Script-Blocking-Ansatz:

Nachteile:

mehr Implementierungsarbeit als bei Noscript oder Librescript
weniger ein „Standard“-Ansatz
Skriptblocker KÖNNEN den Ressourcenverbrauch reduzieren, dies ist jedoch nicht der Fall.

Profis:

Firefox kann auf alle Funktionen skriptabhängiger Websites zugreifen.
Nach der ersten Implementierung sind keine Anpassungen mehr erforderlich.
Einfacher zu verwenden.
Sie können IMMER NOCH Firefox-Erweiterungen verwenden, um den Ressourcenverbrauch zu reduzieren. Noscript ist dafür nicht die einzige Option. Flashblock, FlashStopper, Gifblock, Image Block usw.

Question 2

Als einfache und unkomplizierte Lösung können Sie installierenkein SkriptFirefox-Erweiterung.

Standardmäßig ist der lokale Dateizugriff deaktiviert. Sie können es in noscriptden Optionen sehen →FortschrittlichRegisterkarte →ABEUnterregisterkarte → SYSTEM-Regeln.

Sie können damit auch die Ausführung von Javascript global und pro Domäne steuern. Wenn Sie diese Funktion nicht benötigen, können Sie sie in den Erweiterungseinstellungen deaktivieren (aber aus Ihrer Fragestellung denke ich, dass Sie sie nützlich finden werden).

Weitere Informationen finden Sie auf der Websitenoscript.net.

Answer

Als einfache und unkomplizierte Lösung können Sie installierenkein SkriptFirefox-Erweiterung.

Standardmäßig ist der lokale Dateizugriff deaktiviert. Sie können es in noscriptden Optionen sehen →FortschrittlichRegisterkarte →ABEUnterregisterkarte → SYSTEM-Regeln.

Sie können damit auch die Ausführung von Javascript global und pro Domäne steuern. Wenn Sie diese Funktion nicht benötigen, können Sie sie in den Erweiterungseinstellungen deaktivieren (aber aus Ihrer Fragestellung denke ich, dass Sie sie nützlich finden werden).

Weitere Informationen finden Sie auf der Websitenoscript.net.

Firefox den Zugriff auf das Home-Verzeichnis verweigern

Antwort1

Antwort2

verwandte Informationen