Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Введение
Для повышения безопасности работы с web-браузерами в Astra Linux Special Edition РУСБ.10015-01 1.7.2 добавлен пакет astra-docker-browser, обеспечивающий запуск web-браузеров в изолированных контейнерах docker (см. Установка и администрирование Docker в Astra Linux 1.7). Поддерживаются web-браузеры FireFox и Chromium, при этом Chromium поддерживается в двух вариантах - Chromium - стандартный запуск браузера, и Chromium GOST - запуск с параметром
Блок кода |
---|
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/X Safari/537.36 (Chromium GOST) |
где X - версия Chromium.
Установка пакета
Пакет astra-docker-browser включен в состав расширенного репозитория Astra Linux Special Edition РУСБ.10015-01 1.7 (см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования) начиная с оперативного обновления 1.7.2 и может быть установлен с помощью графического менеджера пакетов (см. Графический менеджер пакетов synaptic) или командой:
Command |
---|
sudo apt install astra-docker-browser |
При установке пакета таким способом может выдаваться Предупреждение предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке пакетов из файлов с помощью apt, Это . Это предупреждение на результат установки не влияет и его можно игнорировать.
Якорь | ||||
---|---|---|---|---|
|
После установки пакета для пользователей, которым будет разрешено использовать браузеры в docker-е, нужно будет создать индивидуальные образы браузеров, для чего:
Так как образ предназначен для использования пользователем и от имени пользователя, разрешить пользователю применение docker:
Command sudo astra-docker-browser --enable <имя_пользователя> Создать образ с браузерами. Образ создается для каждого пользователя от имени этого пользователя:
Command sudo astra-docker-browser --create-image <имя_пользователя>
Для удаления образа:
Command |
---|
sudo astra-docker-browser --delete-image <имя_пользователя> |
Управление разрешениями для пользователей
Отозвать ранее выданные разрешения можно командой:
Command |
---|
sudo astra-docker-browser --disable <имя_пользователя> |
Command |
---|
sudo astra-docker-browser --enable <имя_пользователя> |
Получить список пользователей, которым разрешен запуск пользовательских контейнеров, можно командой:
Command |
---|
sudo astra-docker-browser --list |
Управление доступом к пользовательским ресурсам
При настройках по умолчанию web-браузеру, запускаемому в пользовательском контейнере, предоставляется доступ к следующим ресурсам:
- Устройство /dev/dri — графический интерфейс ядра для непривилегированных пользователей;
- Видеокамера (если в системе имеется устройство /dev/video0);
- Звуковое устройство (если в системе имеется устройство /dev/snd). Для работы со звуковым устройством также используются опции:
- -e PULSE_SERVER=unix:/tmp/pulseaudio.socket;
- -e PULSE_COOKIE=/tmp/pulseaudio.cookie;
- -v /tmp/pulseaudio.socket:/tmp/pulseaudio.socket;
- Пользовательские данные web-браузеров:
- Пользовательские каталоги конфигураций браузеров;
- Пользовательский каталоги Загрузки;
- Пользовательские каталоги конфигураций браузеров;
- Сетевая карта;
- Файл /etc/localtime - только чтение - параметры временной зоны.
Поскольку наличие доступа к этим ресурсам может привести к несанкционированной активности в системе, предусмотрена возможность индивидуальной настройки доступа для пользователей.
Для этого используется конфигурационный файл /etc/astra-docker-browser.conf, содержащий разрешения по передаче ресурсов, принятые по умолчанию, и индивидуальные разрешения для пользователей. Синтаксис записей в файле:
Блок кода |
---|
allow:<имя_пользователя>:<строка_разрешений> |
Для задания разрешений, применяемых по умолчанию вместо имени пользователя используется метасимвол "*" (звездочка).
Строка разрешения состоит из символов разрешений в произвольном порядке:
- v - разрешен доступ к видеокамере;
- s - разрешен доступ к звуковому устройству;
- d - разрешен доступ к пользовательским данным web-браузера
При установке пакета всем пользователям разрешено все. Содержимое конфигурационного файла:
Блок кода |
---|
allow:*:vsd |
Индивидуальные разрешения для пользователей заменяют разрешения, принятые по умолчанию.
Если никакие разрешения не заданы (конфигурационный файл отсутствует или в конфигурационном файле нет ни индивидуальных разрешений для пользователя ни принятых по умолчанию разрешений, то пользователям запрещено всё).
Запуск браузера пользователем
При работе в графической сессии пользователь может использовать для запуска браузера графическое меню:
- "Пуск" - "Прочие" - "Docker-Chromium";
- "Пуск" - "Прочие" - "Docker-Chromium-Gost";
- "Пуск" - "Прочие" - "Docker-Mozilla-Firefox";
Пункты в меню создаются при установке пакета, но неработоспособны до создания образа для пользователя и включения для него разрешения на использование docker (см. Создание образов для пользователей).
Для запуска контейнера с браузером из командной строки пользователь может использовать команду
Command |
---|
astra-docker-browser <имя_web-браузера> |
Поддерживаются браузеры:
FireFox:
Command astra-docker-browser firefox Chromium:
Command astra-docker-browser chromium
...