OpenBSD 上哪种可用方法更适合作为应用程序隔离?
- 使用不同的用户运行 GUI 应用程序?网络浏览器、Torrent 客户端、PDF 查看器等有所不同。
- chroot? -https://www.ibm.com/developerworks/community/blogs/karsten/entry/openbsd_chroot?lang=en
- 或者还有其他可用的方法吗?
目的:如果攻击者通过网络浏览器进入,那么它不应该到达(个人)文件(例如:密码管理器数据库文件)、内存内容,应该以某种方式对其进行限制。
答案1
人们可以使用不同的用户帐户来运行 Web 浏览器(并且为该不同的用户使用不同的 X11 服务器,因此您的常规帐户和运行浏览器的位置之间不存在共享)。
另一种选择可能是vmm(4)在这种情况下,您可以运行 OpenBSD virt 并在其中运行麻烦的应用程序。图形加速或其他可能会很棘手(这里不知道,我的 CPU 都不够新,无法使用vmm(4))
一些应用程序被质押(读pledge(2)),这可能会限制他们对资源的访问。其他人则无可救药地没有做出承诺,所以这没有帮助。 (比较 Chrome 与旧版本的 Firefox。)