| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
|
Введение
Для повышения безопасности работы с web-браузерами в Astra Linux Special Edition 1.7 добавлен пакет astra-docker-browser, обеспечивающий запуск web-браузеров в изолированных контейнерах docker (см. Установка и администрирование Docker в Astra Linux 1.7). Поддерживаются web-браузеры FireFox и Chromium.
Установка пакета
Пакет astra-docker-browser включен в состав основного репозитория Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7 ) начиная с оперативного обновления 2 и может быть установлен с помощью графического менеджера пакетов (см. Графический менеджер пакетов synaptic) или командой:
| Command |
|---|
| sudo spt install astra-docker-browser |
В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1) пакет может быть загружен по ссылке:
и установлен командой:
Управление разрешениями для пользователей
После установки пакета пользователям, которым разрешено использовать запуск web-браузеров в контейнерах docker, администратором системы должны быть выданы разрешения для такого запуска (разрешение на запуск пользовательских контейнеров docker):
| Command |
|---|
| sudo astra-docker-browser enable <имя_пользователя> |
Отозвать ранее выданные разрешения можно командой:
| Command |
|---|
| sudo astra-docker-browser disable <имя_пользователя> |
Получить список пользователей, которым разрешен запуск пользовательских контейнеров, можно командой:
| Command |
|---|
| sudo astra-docker-browser list |
Управление доступом к пользовательским ресурсам
При настройках по умолчанию web-браузеру, запускаемому в пользовательском контейнере предоставляется доступ к следующим ресурсам:
- Видеокамера (если имеется);
- Звуковое устройство (если имеется);
- Сетевая карта (если имеется);
- Пользовательские данные web-браузера;
Поскольку наличие доступа к этим ресурсам может привести к несанкционированной активности в системе, предусмотрена возможность индивидуальной настройки доступа для пользователей.
Для этого используется конфигурационный файл /etc/astra-docker-browser.conf, содержащий разрешения по передаче ресурсов, принятые по умолчанию, и индивидуальные разрешения для пользователей. Синтаксис записей в файле:
| Блок кода |
|---|
allow:<имя_пользователя>:<строка_разрешений> |
Для задания разрешений, применяемых по умолчанию вместо имени пользователя используется метасимвол "*" (звездочка).
Строка разрешения состоит из символов разрешений в произвольном порядке:
- v - разрешен доступ к видеокамере;
- s - разрешен доступ к звуковому устройству;
- n - разрешен доступ к сетевой карте;
- d - разрешен доступ к пользовательским данным web-браузера
При установке пакета всем пользователям разрешено все. Содержимое конфигурационного файла:
| Блок кода |
|---|
allow:*:vsnd |
Индивидуальные разрешения для пользователей заменяют разрешения, принятые по умолчанию.
Если никакие разрешения не заданы (конфигурационный файл отсутствует или в конфигурационном файле нет ни индивидуальных разрешений для пользователя ни принятых по умолчанию разрешений, то пользователю запрещено всё).
Запуск браузера пользователем
При работе в графической сессии пользователь может использовать для запуска браузера иконку на рабочем столе (создается при включении разрешения запуска) или пункт графического меню (создается при установке пакета и недоступно до включения разрешения).
Для запуска контейнера с браузером из командной строки пользователь может использовать команду
| Command |
|---|
| astra-docker-browser <имя_web-браузера> |
Поддерживаются браузеры:
FireFox:
Command astra-docker-browser firefox Chromium:
Command astra-docker-browser chromium