Firejail: Sandbox für Linux

Für Interessierte:

Auch wenn unter Linux das Risiko, von einer Ransomware wie Locky erwischt zu werden, weitaus geringer ist als für Windowsnutzer, wissen wir doch spätestens seit Linux.Encoder.1 aus 2015 und ganz aktuell durch den darauf basierenden KeRanger, dass auch Linux und OS-X durchaus ein Ziel solcher Angriffe sein können. Auch Keylogger für Linux sind verfügbar.

Ich bin deshalb auch unter Linux dazu übergegangen, meinen Browser in einer Sandbox zu betreiben und benutze dazu Firejail. Ähnlich wie Sandboxie kommt Firejail quasi vorkonfiguriert für Firefox, VLC und andere Programme.
Sehr angenehm ist auch eine Funktion (--private), mit der man den Firefox z.B. für Bankgeschäfte in der Sandbox mit einem ganz frischen Profil starten kann, das nach dem Beenden gelöscht wird.

Wer einen Blick darauf werfen möchte, der schaue mal hier: https://firejail.wordpress.com/

Wie ich gelesen habe, ist Firejail ab Ubuntu 15.10 Bestandteil der Distri.

Hallo,

ich möchte nun nunmehr gut 6 Monaten einen kurzen Erfahrungsbericht geben. Wir haben sowohl den Firefox als auch den Vivaldi auf allen Linuxrechnern seither konsequent ausschließlich unter Firejail betrieben. Bisher haben wir nicht ein einziges Problem feststellen können. Alles läuft wie gewohnt. Man merkt gar nicht, dass die Browser in der Sandbox laufen.
Umgekehrt hatten wir bisher aber auch keinen offensichtlichen Fall eines Malware-Angriffs. Was die Wirksamkeit betrifft, kann ich aus eigener Erfahrung keine Aussage treffen.

Aus der Windows-Welt gibt es ebenfalls Neuigkeiten zum Thema Sandboxing. Demnach bietet Windows 10 demnächst die Möglichkeit, den Edge-Browser gekapselt in einer VM laufen zu lassen.

Siehe bei Golem: http://www.golem.de/news/windows-1…609-123475.html
Und deren Quelle, Arstechnica (englisch): http://arstechnica.com/information-te…-keep-you-safe/

Leider ist das wohl zunächst nur für die Enterprise Edition geplant und hat auch den Nachteil, dass man dann keine andere Virtualisierungssoftware, wie die Virtual Box oder VMWare, gleichzeitig laufen lassen kann.

Ich schließe mich trotzdem Peter Bright an:

Zitat

Nonetheless, this use of virtualization to harden a system is an exciting move.

Gruß

Susanne

Hallo,

ich habe gar nicht mitbekommen, dass es hier noch eine weiteres Posting gegeben hat. Noch ein Hinweis:

Zitat von Peter_Lehmann

Bei unveränderter Konfiguration von firejail werden Mailanhänge immer nur [...] in einem festgelegten Downloadordner gespeichert. Ein Verhalten, welches ich als sehr sinnvoll ansehe!
[,,,]
Eine ganz kleine Kröte muss dabei allerdings geschluckt werden: bei unveränderter Konfiguration von firejail ist es auch nur möglich, an eine Mail anzuhängende Dateien aus diesem Downloadordner zu entnehmen.

Auch für Firefox kommt Firejail ja bereits vorkonfiguriert. Wer die Konfig anpassen möchte oder eine Konfig für andere Programme einrichten möchte, findet hier etwas Doku in Deutsch und natürlich auch die Links auf die englische Doku des Projektes.

Gruß

Susanne