网络浏览器是一个很好的攻击媒介,因为人们使用它来访问“危险”的互联网。非常糟糕的事情可能会进入桌面。
因此,一般来说,对于桌面,我们可以执行以下操作:拥有一个单独的*,例如:“firefox”用户,仅用于运行 Firefox 网络浏览器。
vi /etc/ssh/sshd_config
Ports 44444 # increased port number to avoid simpler automated attacks
ListenAddress 127.0.0.1 # only listen on localhost!
PasswordAuthentication no # allow only pubkey
PubkeyAuthentication yes # allow only pubkey
etc.
And of course we could limit in pf who can have access to port 44444, have port knocking, etc.
然后普通的“用户”用这个启动firefox
ssh -p 44444 [email protected] -X /home/firefox/.firefox/firefox-bin > /dev/null 2>&1
问题是:有没有更好的解决方案来与单独的用户一起使用网络浏览器?我在端口中没有找到“gksu”。专门针对使用默认 FVWM 的 OpenBSD 询问它。
为什么 SSH 解决方案不行? AFAIK:
- Using "ssh -X" is not a very secure solution
- Using "ssh -X" can cause performance problems for the webbrowser
*使用单独的用户我们可以限制攻击,因此攻击者如果通过浏览器进入桌面,将看不到普通用户“用户”的私人文件。
UPDATE#1:复制和粘贴功能应该适用于我们与分离用户一起使用的网络浏览器。