如何在Debian上沙箱Iceweasel (Firefox)？

Question

在Debian系统上是否有任何工具可以用来对Iceweasel (Firefox)进行沙箱操作？我对Debian发布的工具很感兴趣。(同样值得信赖的来源将是第二好的。)

(我认为安装VirtualBox并在其中运行Iceweasel (或Firefox)可以有效地沙箱化浏览器，但是VirtualBox实例占用了大量的磁盘空间，而且我的机器的驱动器也没有那么大。我希望找到一种方法，通过更小的磁盘占用来实现同样的结果。)

Answer 1

我用于“沙箱”应用程序的一种方法(例如，游戏服务器、网络应用程序、.)是为每个应用程序创建特定的用户。例如：

sudo adduser firefoxuser # create a user for browsing the web

然后退出并以新用户身份登录。然后运行您需要运行的任何应用程序。如果用户不需要sudo访问，那么确保用户不能使用sudo。

在你的情况下，只要以这个用户的身份登录，每次你想浏览网页。这样，如果攻击者能够进入您的系统，他们将无法立即访问管理帐户。如果要进一步限制访问，还可以考虑将它们从某些默认组中删除。

虚拟盒

正如您在问题中所说的，虚拟盒(VM等)有许多缺点：

1. 用了一吨RAM
2. 使用了大量的磁盘空间
3. 慢得多

但是，使用它也有很多好处。您可以创建虚拟机，然后创建快照。我通常称之为“工厂之州”。然后，使用完虚拟机后，恢复到快照。无论您的虚拟机上安装了什么恶意软件，都将被删除。

Answer 2

您应该查看沙箱软件草糖。这是一个副本上写沙箱，旨在使您的文件系统完整后，进程已经结束。

Afaik，在arkose中没有限制对文件的读取访问的控件，因此以另一个用户的身份运行浏览器可能是个好主意。

这种沙箱的一个缺点是，从浏览器内部更新的插件将无法在沙箱中生存下来。您应该定期运行浏览器，让插件更新。