我在 Scientific Linux 6.3 上执行此操作(要实现它,需要最少的 Linux 知识):
共享下载目录
请记住,您只能从该目录复制或复制到该目录,切勿将文件“移动”到此处或从此处移动文件!
adduser ffuser
passwd ffuser # use a very good and very long password
groupadd ffgroup
vi /etc/group # add ffuser and the normal user to the end of the ffgroup line. after editing a users group, you need to re-login with it..
mkdir /home/Downloads; chmod -R 2770 /home/Downloads; ln -s /home/Downloads /home/NORMALUSERHERE/Desktop/Downloads; chown ffuser:ffgroup /home/Downloads/
echo "umask 007" >> /home/ffuser/.bashrc
ssh-copy-id -i /home/NORMALUSERHERE/.ssh/id_rsa.pub '-p PORTNUMBER [email protected]'
有根
vi /etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin without-password
ListenAddress 127.0.0.1
Port SOMEHIGHPORTNUMBERHERE
使用此 oneliner 下载 Firefox
URL="https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/linux-x86_64/en-US/"; URLEND=`curl -s $URL | sed 's/"/\n/g' | fgrep '.tar' | sort -nr | egrep -v '/a|align|/td' | head -1`; curl "${URL}${URLEND}" > ${URLEND}"
登录时不显示 ffuser/root [使用 GNOME2]
sed -i 's/\[greeter\]/\[greeter\]\nExclude=ffuser,root/g' /etc/gdm/custom.conf
cat /etc/gdm/custom.conf
闪光
仅在确实需要时才使用闪光灯。
yum install flash-plugin
# run this with ffuser
mkdir -p "/home/`whoami`/.firefox/plugins"; ln -s "/usr/lib64/flash-plugin/libflashplayer.so" "/home/`whoami`/.firefox/plugins"
使用这些作为默认的 Firefox 附加组件
https://addons.mozilla.org/en-US/firefox/addon/wot-safe-browsing-tool/ # WOT settings -> Searching -> Show only negative ratings # FOR REAL SECURITY don't use this plugin, because it send out url's that you are visiting..
https://addons.mozilla.org/en-US/firefox/addon/adblock-plus/
https://www.eff.org/https-everywhere
https://addons.mozilla.org/en-US/firefox/addon/flashblock/ # if you are using flash.. but don't use it.. don't install flash..
https://addons.mozilla.org/en-US/firefox/addon/cookie-whitelist-with-buttons/
额外安全性的附加组件
https://addons.mozilla.org/en-US/firefox/addon/noscript/ # tick the "restrict on trusted sites too" in the "embedded objects" tab
# in 2013.03 convergence didn't worked very well: https sites were slow with it, etc...
http://convergence.io/ # Firefox wouldn't start after installing convergence for the first time, just "kill" Firefox, start it again and then it will be ok :)
关于:配置
app.update.silent
true
network.http.pipelining
true
network.http.proxy.pipelining
true
network.dns.disableIPv6
true
# only if using Linux/BSD
browser.download.manager.scanWhenDone
false
browser.cache.disk.capacity
262144
browser.cache.offline.capacity
262144
layout.spellcheckDefault
2
browser.sessionstore.max_tabs_undo
2
browser.sessionstore.max_windows_undo
2
plugins.hide_infobar_for_missing_plugin
true
# THESE 5 ARE IMPORTANT FOR SECURITY REASONS
geo.enabled
false
network.http.sendRefererHeader
0
pdfjs.disabled
true
# only if using noscript!
noscript.showPermanent
false
New -> String
general.useragent.override
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
# just don't use your real user agent..
禁用 Flash cookies
出于隐私考虑,如果安装了 Flash。去:
https://www.youtube.com/
并右键单击 Flash 元素
Right click -> Global Settings... -> Storage TAB -> Block all sites from storing information on this computer
Camera and Mic TAB -> Block all sites from using the camera and microphone
Playback -> Block all sites from using peer-assisted networking
其他重要配置
- 选项->高级->网络->离线存储256 MB
选项->高级->常规->辅助功能->
取消选中始终检查 Firefox 是否是启动时的默认浏览器取消选中使用平滑滚动
- 删除未使用的搜索引擎!
查看about:plugins
。不应该有任何插件。
rm /usr/lib/mozilla/plugins/*
之后,您可以使用以下命令启动 Firefox:
ssh -p 52317 [email protected] -X /home/ffuser/.firefox/firefox-bin > /dev/null 2>&1
Firefox 具有内置自动更新功能。
几个有用的网站:
- https://panopticlick.eff.org/
- http://centralops.net/asp/co/BrowserMirror.vbs.asp
- http://samy.pl/evercookie/
- http://whatsmyuseragent.com/
这些问题都与这一主题相关(这就是为什么我没有开始提出几个问题):
- 如何从安全方面欺骗此设置?是否有任何提示/技巧可以减少“ffuser”的权限?
- Firefox 关闭后仍然运行。如果没有任何 Firefox 窗口,如何关闭 Firefox 进程? (这不会造成任何问题,只是令人沮丧)
- Firefox 中的“ssh -X”没有任何声音。如何解决这个问题?
答案1
如果您可以使用虚拟机,那么设置可能会更容易,但突破起来会稍微困难一些。您使用的是 RH 衍生产品,因此您应该能够从它们应用于 VM 软件的 SELinux 规则中受益。您甚至可以运行不同的来宾系统,例如使用 Fedora 来获取发行版打包的 Firefox,并具有 SELinux 规则的理论上的优势。
可能是dbus。尝试跑步
dbus-launch firefox
。你有脉冲音频吗?我发现如果我使用 启用网络pulseaudio,本地网络上的 ssh -X 也可以处理声音
paprefs
。 (不确定它的扩展性如何)。如果声音隐私是一个问题,那么您需要更仔细地考虑这一点。
答案2
使用带有 X11 转发的 SSH 到 localhost 效率非常低。您可以使用su
或sudo
来更改用户,然后不需要在本地计算机中通过 SSH 加密和解密每个 UI 更新。
如果您正确设置音频权限,那么您将能够在 Firefox 中播放音频,但请注意,这样做也可能允许 Firefox 录制音频(从麦克风或其他应用程序),因此如果安全性很重要,那么您可以想要完全放弃音频。
禁用pdfjs
是一个奇怪的选择,因为这是为了提高安全性而创建的。它完全在浏览器内运行,因此并不比任何其他网页更危险,但是下载 PDF 并在外部程序中查看它历来存在许多安全问题。
正如 @sourcejedi 所说,在虚拟机内运行 Firefox 是一个相当简单的选择,并且将为您提供比此处更高的安全性和更好的性能(因为您不会使用 SSH)。您还可以对虚拟机进行快照,并在受到威胁时将其回滚,从而减少恶意站点的影响。