Firejail: Sandbox für Linux

  • Für Interessierte:


    Auch wenn unter Linux das Risiko, von einer Ransomware wie Locky erwischt zu werden, weitaus geringer ist als für Windowsnutzer, wissen wir doch spätestens seit Linux.Encoder.1 aus 2015 und ganz aktuell durch den darauf basierenden KeRanger, dass auch Linux und OS-X durchaus ein Ziel solcher Angriffe sein können. Auch Keylogger für Linux sind verfügbar.


    Ich bin deshalb auch unter Linux dazu übergegangen, meinen Browser in einer Sandbox zu betreiben und benutze dazu Firejail. Ähnlich wie Sandboxie kommt Firejail quasi vorkonfiguriert für Firefox, VLC und andere Programme.
    Sehr angenehm ist auch eine Funktion (--private), mit der man den Firefox z.B. für Bankgeschäfte in der Sandbox mit einem ganz frischen Profil starten kann, das nach dem Beenden gelöscht wird.


    Wer einen Blick darauf werfen möchte, der schaue mal hier: https://firejail.wordpress.com/


    Wie ich gelesen habe, ist Firejail ab Ubuntu 15.10 Bestandteil der Distri.

    Einmal editiert, zuletzt von SusiTux () aus folgendem Grund: Überflüssige bolds entfernt

  • Hallo,


    ich möchte nun nunmehr gut 6 Monaten einen kurzen Erfahrungsbericht geben. Wir haben sowohl den Firefox als auch den Vivaldi auf allen Linuxrechnern seither konsequent ausschließlich unter Firejail betrieben. Bisher haben wir nicht ein einziges Problem feststellen können. Alles läuft wie gewohnt. Man merkt gar nicht, dass die Browser in der Sandbox laufen.
    Umgekehrt hatten wir bisher aber auch keinen offensichtlichen Fall eines Malware-Angriffs. Was die Wirksamkeit betrifft, kann ich aus eigener Erfahrung keine Aussage treffen.


    Aus der Windows-Welt gibt es ebenfalls Neuigkeiten zum Thema Sandboxing. Demnach bietet Windows 10 demnächst die Möglichkeit, den Edge-Browser gekapselt in einer VM laufen zu lassen.


    Siehe bei Golem: http://www.golem.de/news/windo…g-laufen-1609-123475.html
    Und deren Quelle, Arstechnica (englisch): http://arstechnica.com/informa…machine-to-keep-you-safe/


    Leider ist das wohl zunächst nur für die Enterprise Edition geplant und hat auch den Nachteil, dass man dann keine andere Virtualisierungssoftware, wie die Virtual Box oder VMWare, gleichzeitig laufen lassen kann.


    Ich schließe mich trotzdem Peter Bright an:

    Zitat


    Nonetheless, this use of virtualization to harden a system is an exciting move.


    Gruß


    Susanne

  • Hallo!


    Auch ich habe etwa zur gleichen Zeit begonnen, mich mit firejail zu befassen - und auch ich möchte dieses Programm nicht mehr missen!
    Ich habe dazu intensiv versucht, bewusst aggresive Programme (z. Bsp. einfache kleine Scripte, welche Manipulationen an meinem eigenen /home und in anderen Bereichen vornehmen sollen) direkt aus dem Thunderbird und dem Firefox heraus zu starten. Ich habe es einfach nicht geschafft! WOWEREIT!


    Bei unveränderter Konfiguration von firejail werden Mailanhänge immer nur (also auch, wenn ich selbige wider jedem Verstand gleich aus dem TB oder dem Fx öffnen will) in einem festgelegten Downloadordner gespeichert. Ein Verhalten, welches ich als sehr sinnvoll ansehe!


    Eine ganz kleine Kröte muss dabei allerdings geschluckt werden: bei unveränderter Konfiguration von firejail ist es auch nur möglich, an eine Mail anzuhängende Dateien aus diesem Downloadordner zu entnehmen. Andere Ordner kann der TB dann zum Anhängen von Dateien nicht "betreten". Die vorgesehenen Mailanhänge müssen also zuerst einmal in einen dafür "zugelassenen" Ordner kopiert werden.
    Selbstverständlich kann ein user das durch Änderung an der Konfiguration ändern, was dann natürlich, wenn übertrieben, auf Kosten der durch das "Einsperren" der Programme in jenes Gefängnis ("jail") erreichten Sicherheit geschieht.
    An diese kleine "Mehrarbeit" können/sollten wir uns gewöhnen!



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    ich habe gar nicht mitbekommen, dass es hier noch eine weiteres Posting gegeben hat. Noch ein Hinweis:


    Bei unveränderter Konfiguration von firejail werden Mailanhänge immer nur [...] in einem festgelegten Downloadordner gespeichert. Ein Verhalten, welches ich als sehr sinnvoll ansehe!
    [,,,]
    Eine ganz kleine Kröte muss dabei allerdings geschluckt werden: bei unveränderter Konfiguration von firejail ist es auch nur möglich, an eine Mail anzuhängende Dateien aus diesem Downloadordner zu entnehmen.

    Auch für Firefox kommt Firejail ja bereits vorkonfiguriert. Wer die Konfig anpassen möchte oder eine Konfig für andere Programme einrichten möchte, findet hier etwas Doku in Deutsch und natürlich auch die Links auf die englische Doku des Projektes.


    Gruß


    Susanne