Linux での Firefox のセキュリティ機能に関する警告
リビジョン情報
- リビジョン ID: 304483
- 作成日:
- 作成者: kenyama
- コメント: update.
- 査読日: はい
- 査読日:
- 査読者: marsf
- 承認済み はい
- 現在のリビジョン? はい
- 翻訳準備中: いいえ
リビジョンのソース
リビジョンの内容
Linux に Firefox をインストールすると、“Firefox のセキュリティ機能のいくつかが現在お使いの OS では保護が低下しています” という警告が表示されることがあります。
Firefox のサンドボックスはよりセキュリティを強化しようと新しいプロセスを生成するのに非特権ユーザーの名前空間を活用します。これはセキュリティ上のリスクと考えれますので、その使用を厳格化して AppArmor プロファイルの場合だけ動作を許可するとしている Linux ディストリビューションがあります。
プロファイルはインストールパスを制限したセットのみを保護し、Snap や Debian のパッケージに含まれています。ところがローカルでの開発ビルドと同様に tarball インストールといった他の方法では保護できません。
Firefox で AppArmor プロファイルを作成するには:
/etc/apparmor.d/ で、firefox-local という名前でファイルを生成します。
ファイルには、以下のように追加してください:
# このプロファイルはすべてのユーザーにアプリケーションが "unconfined" というラベルでない名前を与えるために存在します
abi <abi/4.0>,
include <tunables/global>
profile firefox-local
/home/<USER>/bin/firefox/{firefox,firefox-bin,updater}
flags=(unconfined) {
userns,
# サイト特有の追加設定や上書き設定を行います。詳細は local/README をご覧ください。
include if exists <local/firefox>
}
<USER> は Linux のユーザー名に置き換えてください。ここでは Firefox のインストールは $HOME/bin/ にされているものと想定しています。
ファイルを保存してから、Linux のターミナルで sudo systemctl restart apparmor.service を実行してください。