我正在考虑创建一个单独的浏览帐户,并使用sudo -u browseraccount {firefox,chromium,etc}.我想知道这是否可以防止恶意软件(尤其是勒索软件)逃离浏览器的沙箱访问我的$HOME.
它真的能提供安全保障吗?危害我的浏览器的攻击者仍然可以访问 ~/Documents、~/Images 等吗?
答案1
它访问您运行它的用户的文档/图像(如果它们存在 - 如果该用户没有家庭,那么它可能无法工作,浏览器通常在家庭中存储一些数据,例如配置文件和其他内容)。
否则,答案是肯定的。普通用户不能(根据主文件夹的通常权限)访问任何其他用户的主目录,或更改系统文件。详细信息取决于您将此用户添加到哪个组,以及您在树中其他位置拥有的文件的确切权限。
但是,您可能需要授予普通用户读取下载的权限,否则,下载的文件毫无用处。这违背了隔离的目的。
然而...如果您知道自己在做什么,那么这样做几乎没有任何意义。下载的文件除非被执行,否则不会造成任何损害,为此,它们需要可执行权限(通常在下载时不会设置)。这几乎是 Windows 特有的问题(点击一个看起来像数据但实际上是应用程序的文件,会直接执行它,因为没有“执行权限”的概念,尽管较新的版本一直在困扰您的任何内容)想要执行)。
简而言之...如果您下载了恶意脚本并且不运行它,也不会造成任何损害。如果你想运行它...你可以做那作为单独的用户(而浏览器可以作为您自己运行)。当然,如果它不是二进制文件,而是 shell 脚本,您可以随时打开并查看它的作用。
甚至更多... Linux 软件通常不会以可下载的可执行文件的形式出现 - 您通常有软件包、源文件或类似的东西。无论如何,在下载要作为可执行文件运行的文件时,您最好知道自己在做什么。