Firefox装在Docker里，真能防中毒？，删掉重装唯有三秒，它到底怕什么？

最近试了用Docker跑Firefox，不是为了炫技，等于被毒怕了。上周点了个PDF贯穿，Chrome立马弹出“系统申饬”，杀软叫得比我家狗还响。重装浏览器、清注册表、查启动项……折腾两小时，完了第二天又来。此次我懒得折腾了，径直拉个容器跑。

Docker跑浏览器，说白了等于把它关进一个透明玻璃盒子里。盒子里能装啥、能连哪、能碰谁，全是你一句话定的。比如`--read-only`让通盘系统根目次造成只读，里头的病毒念念删Firefox源文献？删不动。念念往`/etc`写东西？写进去也只在盒子里，盒子一拆，啥齐不剩。这不是靠运谈，是Linux内核自带的PID定名空间、mount定名空间这些实打实的间隔机制在干活。

我用的是jlesage/firefox镜像，5800端口怒放就能用，带文献上传、剪贴板同步，以致能播网页视频。一驱动总卡在WebGL，查半天发现得加`--shm-size=2g`，否则页面一动就白屏。还有披露缩放问题，不设`DISPLAY_WIDTH`和`HEIGHT`，界面小得像蚂蚁搬家。这些不是哲学，是镜像作家踩过的坑，写进敕令里就完事。

特意试了“中毒”：进容器里`rm -rf /usr/lib/firefox/*`，Firefox立马崩；再改`prefs.js`加一瞥坏心设立，重启结竟然跳转到奇怪网站。但这些操作对宿主机零影响——`/etc/passwd`依然老时势，`ps aux`也看不到任何充足程度。真的吓东谈主的是，`docker rm -f firefox && docker run ...`，实测3.7秒就总结一个全新、干净、没被碰过的浏览器。不是等镜像下载，是预拉好了，纯重建。

安全不成光靠“删得快”。我把网罗改成`--network=none`，再单独建个里面网桥，只让容器走公司代理出去；`--cap-drop=ALL`干掉通盘危急权限，只留一个`SYS_CHROOT`——够用就行。挂载`/config`用宿主机目次，但里头通盘设立齐Git托管，今天共事改坏了确立，`git checkout HEAD~1`就能回退，比重启还快。

虽然，它不是神。你若是主动从Web UI下载个`setup.exe`，再手动传到宿主机双击……那Docker可拦不住。剪贴板同步开着，你复制了一段JavaScript，粘贴到腹地Chrome规则台运行？它也管不着。VNC密码设成123456，别东谈主连进来把你的浏览历史导走，问题不在容器，在你手滑。

CentOS7.9上跑得最折腾。SELinux默许拦着Docker走访显卡建造，不加`container_manage_cgroup`政策，硬件加快径直歇工。网上许多教程写“关闭SELinux”，我不敢，真关了公司审计过不了。终末抄了条敕令我方跑一遍：`sudo setsebool -P container_manage_cgroup 1`，完事。

监控也加了。写了个小剧本，每分钟跑`docker stats firefox --no-stream | grep mem`，内存顷刻间飙到90%，就发钉钉教唆。有次真撞上了，发现是某网站JS在后台挖矿，坐窝`docker rm -f firefox`，三秒后新容器启动，挖矿代码全清空。

配`docker-compose.yml`不是为了装X。我存了三个版块：Firefox 115（平淡用）、102（老系统兼容）、ESR（审计专用）。用`docker-compose --profile office up -d`就能切场景，无须记一长串参数。

有东谈主说这太重，不如用Sandboxie。可Sandboxie要装驱动、升权限、兼容性一堆雷。Docker不依赖Windows劳动，Linux/macOS通用，敕令就一条，学三天就能上手。

我电脑咫尺就开着两个Firefox：一个宿主机的，用来收邮件；一个Docker里的，专门点贯穿、下文献、试网银。前者偶尔卡一下，后者点完关掉，从不存东西。

今天删了三次。终末一次是因为点进一个“免费电影”站，弹窗说“致敬装插件”，没点，径直关容器。

删完它就没了。