Virtualisierung/Sandboxing von Iceweasel/Firefox

[chr.gogolin]

Hallo!

Vorgeschichte: Um das VPN meines Instituts zu verwenden muss ich ein Plugin verwenden das ausschließlich unter dem 32bit Firefox/Iceweasel läuft. Dieses Plugin läd dann einen proprietäres Binärmodul herunter das angeblich dazu da ist zu überprüfen ob mein Virenschutz aktuell ist... Wie auch immer, auf jeden Fall möchte ich das nicht auf meinem Produktivsystem haben... In das VPN möchte ich nur deshalb weil es der einzige weg ist von außerhaus über SSH auf den Rechencluster zuzugreifen.

Ziel: Ich möchte also gerne auf mein 64bit Debian stable host eine 32bit Instanz des Firefox/Iceweasel laufen lassen und zwar gerne entweder in einer Sandbox oder in einer Virtuellen Maschine. Für den SSH Zugriff brauche ich noch nicht einmal zwingend ein zusätzliches Programm in der Selben Maschine/Sandbox, da es einen SSH client als Firefox Erweiterung gibt.

Frage: Welche der vielen Virtualisierungslösungen (VmWare, VirtualBox, KVM, LXC, ...) oder Sandboxing Methoden (Firejail, Chroot, Docker) wäre dafür am geeignetsten? Einfache Einrichtung wäre wichtiger als maximale Sicherheit.

Danke!

[hikaru]

In Sachen einfache Einrichtung und auch recht nahe an maximaler Sicherheit wäre wohl eine Installation eines i386-Debians in Virtualbox - auf Kosten des recht hohen Overheads, dass du ein zweites System gleichzeitig betreibst.
Das sollte aber auf allen Rechnern mit einer CPU über Atom-Niveau und mindestens 2GB RAM unproblematisch sein.

Die einzige Alternative zu der ich etwas sagen kann wäre ein i386-chroot. Die Einrichtung ist nicht schwierig, aber VPN riecht nach Kernelmodul und das i386-chroot würde ja auf dem amd64-Hostkernel laufen, was wiederum Kompatibilitätsprobleme und möglicherweise Sicherheitsbedenken mit sich bringen könnte.
Der Vorteil wäre eine schlankere Implementierung als mit einer VM.

[pferdefreund]

Schon mal i386-architecture hinzugefügt und dann den 32-bittigen Firefox installiert ? Eventuell klappts dann ja schon.

[hikaru]

Ich glaube der nachinstallierte Firefox würde sich mit dem bereits vorhandenen Iceweasel beißen.

[chr.gogolin]

Ob Iceweasel oder Firefox ist mir egal und ja, mit dem per multiarch installierent iceweasel klappt alles, nur es ist dann eben nicht wie von mir gewünscht von meinen Produktivsystem abgekapselt (siehe oben).

[pferdefreund]

Dann halt privatsystem auf 2. Partition kopieren und mit chroot nutzen.

[hikaru]

Dann halt privatsystem auf 2. Partition kopieren und mit chroot nutzen.

Eine zweite Partition braucht man dafür nicht. Ein Verzeichnis für das chroot reicht.

[tomi89]

Schau dir mal Firejail an. Es verwendet nur vorhandene Kerneltechnik und hat keine zusätzlichen Abhängigkeiten.