Veilige zandbak voor uw webbrowser (en desgewenst ook voor andere programma's)


Terug naar de thuispagina



Waarom de zandbak van Firejail nuttig is

1. Linux Mint en Ubuntu zijn standaard al erg veilig. Maar met een kleine ingreep wordt uw Linux nóg een flink stuk veiliger. Namelijk door uw webbrowser te draaien in een veilige virtuele zandbak. Want webbrowsers (en hun invoegtoepassingen) zijn verreweg de meest aangevallen programma's die er bestaan.

Met behulp van het handige programma Firejail kunt u uw webbrowser op die manier beschermen. Firejail biedt namelijk lichtgewicht-virtualisatie op toepassingsniveau. Vrij vertaald: u kunt uw webbrowser volledig isoleren, zodat hij überhaupt nooit kwaad kan aanrichten in uw gebruikersmap.

Daarmee bent u een stuk beter beveiligd tegen inbraak in uw persoonlijke gebruikersmap (de bestanden die benaderbaar zijn zonder rootrecht). Firejail beschermt tegen kwaadaardige programmatuur die achter uw rug om, akelige dingen met uw persoonlijke bestanden probeert te doen. De kwaadaardige programmatuur kan ongehinderd zijn werk doen, maar.... kan nergens bij.

Want uw webbrowser en de invoegtoepassingen in uw webbrowser, zijn dan geïsoleerd van uw gebruikersmap. Bijna helemaal, want er zijn wel een paar nuttige uitzonderingen, zoals de map Downloads en de eigen instellingen van de webbrowser. Ook de mappen en bestanden van het systeem zijn nog steeds bereikbaar, maar uiteraard als "alleen-lezen".

Verder is Firejail goed ontworpen: het gebruik van Firejail kost slechts weinig extra systeemkracht.

Ik ben het geheel eens met wat Distrowatch over Firejail heeft geschreven: de extra beschermingslaag die Firejail biedt, verhoogt de veiligheid aanzienlijk, kost slechts heel weinig systeemkracht en is bijna zonder moeite te gebruiken.

In de wereld van vandaag, waarin we constant te maken hebben met veiligheidsinbreuken en bezorgdheid over de bescherming van ons privéleven, is mijn mening: waarom zou iemand Firejail niet willen gebruiken? (het volledige Distrowatch-artikel vindt u hier)

Alles heeft natuurlijk zijn prijs, ook al is die klein: het nadeel van deze isolatie is, dat u bijvoorbeeld alleen bestanden bij een e-mailbericht kunt voegen als ze in de map Downloads staan. Want verder is uw webbrowser geïsoleerd van uw gebruikersmap. Ook afdrukken van webpagina's op uw printer, zou hierdoor kunnen mislukken.

Daarom raad ik aan, om deze isolatie te beperken tot de webbrowser-starter in de werkbalk van uw bureaublad. U kunt dan altijd, desgewenst, een "normale" webbrowser starten vanuit het menu.

Voor alle duidelijkheid: de isolatie van Firejail strekt zich niet uit tot de mappen en bestanden van uw besturingssysteem. Want die zijn eigendom van root en dus al genoeg beveiligd door het wachtwoordvereiste voor veranderen of wissen.

U bereikt dit als volgt:

Installeer Firejail

2. Installeren van Firejail gaat als volgt:

a. Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

b. Kopieer en plak daarin de volgende opdrachtregel:

sudo apt-get install firejail

Druk op Enter en tik uw wachtwoord in. Uw wachtwoord blijft geheel onzichtbaar, u ziet zelfs geen sterretjes, dat hoort zo. Druk wederom op Enter.

Aanbevolen: zorg ervoor dat u de nieuwste Firejail LTS hebt

2.1. De ontwikkelaars van Firejail onderhouden twee Firejail-reeksen: een langdurig ondersteunde (LTS) reeks en de nieuwste reeks.

Ten tijde van het schrijven van deze handleiding (februari 2017), zat de nieuwste Firejail LTS gewoon in de officiële pakketbronnen van Ubuntu 16.04 en Linux Mint 18.x. Maar dat zou in de toekomst kunnen veranderen.

U kunt de versie van uw geïnstalleerde Firejail nakijken met behulp van de volgende terminalopdracht:
firejail --version

De nieuwste Firejail LTS kunt u altijd hier binnenhalen. Als die nieuwer is dan wat u heeft: haal het .deb installatiebestand binnen (niet het .tar.bz2 bestand). Probeer niet om het te installeren via het dialoogschermpje in uw webbrowser (want dat zal waarschijnlijk niet lukken), maar haal het alleen maar binnen. Ga er daarna naartoe met uw bestandbeheerder  en dubbelklik het, alsof het een installatiebestand van Windows is.

Firefox draaien in de zandbak

3. Na de installatie van Firejail start u webbrowser Firefox als volgt op in de zandbak:

Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende opdrachtregel:

firejail firefox

Druk op Enter.

Dat is alles! Firejail heeft redelijke standaardinstellingen voor Firefox, die nauwelijks hinderlijk zijn en toch uw veiligheid flink verhogen. De doorsneegebruiker hoeft aan die instellingen niets te veranderen.

Maar dat is slechts eenmalig; het is natuurlijk lastig om Firefox elke keer zo te moeten starten. Ik raad dus aan om een starter te maken die Firefox standaard in de zandbak opstart.

Daarvoor doet u in Linux Mint Cinnamon een rechtsklik met de muis op het pictogram van Firefox in de werkbalk van uw bureaublad - Bewerken - Command: verander dit in:
firejail firefox %u

Klik op OK.

In Ubuntu en in andere werkomgevingen dan Cinnamon, moet u de bureaubladstarter van Firefox op een vergelijkbare manier bewerken.

Sluit nu alle openstaande Firefoxvensters en klik op de bureaublad-werkbalkstarter van Firefox, waardoor Firefox opnieuw start. Firefox zou nu in zandbakmodus moeten draaien.

Om dat na te kijken opent u een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende opdrachtregel:
firejail --tree

Druk op Enter.

Daarmee kunt u nazien of Firefox inderdaad in de zandbakmodus draait.

Herstel een geluidprobleem (PulseAudio) dat wordt veroorzaakt door Firejail

4. Als u Firejail draait, dan zal dat waarschijnlijk een probleem veroorzaken met het geluid en het afspelen van muziekbestanden. Als volgt verhelpt u dat:

Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende serie opdrachtregels (druk telkens op Enter, na elke afzonderlijke opdrachtregel):

mkdir -p ~/.config/pulse

cd ~/.config/pulse

cp -v /etc/pulse/client.conf ~/.config/pulse

echo "enable-shm = no" >> client.conf

Let op: dit is een gebruikersinstelling, dus pas dit toe in elk gebruikersaccount.

Instellingen voor Firefox bekijken en wijzigen (voor gevorderden)

5. Wilt u de instellingen van Firejail voor Firefox bekijken? Die staan in /etc/firejail/firefox.profile

Wilt u iets veranderen in het Firefoxprofiel van Firejail? Doe dat liever niet systeembreed, maar kopieer eerst het systeembrede Firefoxprofiel van Firejail naar uw gebruikersmap. Dat kan met de volgende terminalopdrachten (kopieer en plak ze in de terminal):

Allereerst:
mkdir -v ~/.config/firejail

Druk op Enter.

Daarna:
cp -v /etc/firejail/firefox.profile ~/.config/firejail

Druk op Enter.

Tot slot, als u kladblokje Leafpad heeft geïnstalleerd (zo niet, gebruik een ander kladblokje):

leafpad ~/.config/firejail/firefox.profile

Druk op Enter.

Dan kunt u veilig experimenteren in het gekopieerde profiel, en blijven uw wijzigingen tenminste ook in stand wanneer u een nieuwere versie van Firejail installeert.

U kunt Firejail ook opstarten met allerlei geavanceerde parameters. Die kunt u nakijken via de terminalopdracht man firejail of op deze webpagina.

Firefox volledig in de zandbak gooien (voor gevorderden)

6. Het is ook mogelijk om de Firefox in uw gebruikersaccount volledig in de zandbak te gooien, ongeacht hoe u hem start. Dat raad ik niet aan, want dan loopt u waarschijnlijk van tijd tot tijd tegen beperkingen aan. Maar als u het toch wil, dan zijn dit de twee terminaltoverspreuken om dat te bewerkstelligen:

Eerst dit (het is één regel):
cp -v /usr/share/applications/firefox.desktop ~/.local/share/applications

Daarna dit (het is één regel):
sed -i 's/Exec=firefox/Exec=firejail firefox/g' .local/share/applications/firefox.desktop

Sluit Firefox en start hem opnieuw.

Ongedaan maken kan zo:

rm -v ~/.local/share/applications/firefox.desktop

Sluit Firefox en start hem opnieuw.


(wordt vervolgd in de rechterkolom)

Deze website wordt gesponsord door Google-advertenties.

Gebruikt u een advertentieblokkeerder? Dan blokkeert u ook mijn advertentie-inkomsten....

Als u deze website wil ondersteunen, dan kunt u uw advertentieblokkeerder instellen om voor mijn website een uitzondering te maken.

Bij voorbaat dank....


Google Chrome en Chromium draaien in de zandbak

7. Voor Google Chrome en Chromium is de isolatie van Firejail minder belangrijk dan voor Firefox. Want Chrome en Chromium zijn sowieso al beter beschermd dan Firefox (de ontwikkelaars van Firefox zijn er trouwens mee bezig om dit te verbeteren). Toch is deze ingreep ook nuttig voor Chrome en Chromium.

Onderstaande instructies (punt 6, 7 en 8) zijn geschreven voor Google Chrome. Gebruikt u Chromium? Vervang dan telkens in de opdrachtregels "google-chrome-stable" door "chromium-browser".

Maar als u Chrome toch in de zandbak wil draaien: na de installatie van Firejail start u Google Chrome als volgt op in de zandbak:

Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende opdrachtregel:
firejail google-chrome-stable

Druk op Enter.

Dat is alles! Firejail heeft redelijke standaardinstellingen voor Chrome, die nauwelijks hinderlijk zijn en toch uw veiligheid flink verhogen. De doorsneegebruiker hoeft aan die instellingen niets te veranderen.

Maar dat is slechts eenmalig; het is natuurlijk lastig om Chrome elke keer zo te moeten starten. Ik raad dus aan om een starter te maken waarmee u Google Chrome standaard opstart in de zandbak.

Daarvoor plaatst u eerst een starter van Google Chrome in uw werkbalk. Dat kan in Linux Mint Cinnamon vanuit het menu: Internet - rechtsklik op Google Chrome - Toevoegen aan paneel.

Vervolgens doet u in Linux Mint Cinnamon een rechtsklik met de muis op het pictogram van Google Chrome in de werkbalk van uw bureaublad - Bewerken - Command: verander dit in:
firejail google-chrome-stable %U

Klik op OK.

In Ubuntu en in andere werkomgevingen dan Cinnamon, moet u de bureaubladstarter van Google Chrome op een vergelijkbare manier bewerken.

Sluit nu alle openstaande Chromevensters en klik op de bureaublad-werkbalkstarter van Chrome, waardoor hij opnieuw start. Chrome zou nu in zandbakmodus moeten draaien.

Om dat na te kijken opent u een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende opdrachtregel:
firejail --tree

Druk op Enter.

Daarmee kunt u nazien of Chrome inderdaad in de zandbakmodus draait.

Instellingen voor Chrome bekijken en wijzigen (voor gevorderden)

8. Wilt u de instellingen van Firejail voor Chrome bekijken? Die staan in /etc/firejail/google-chrome-stable.profile

Wilt u iets veranderen in het Chromeprofiel van Firejail? Doe dat liever niet systeembreed, maar kopieer eerst het systeembrede Chromeprofiel van Firejail naar uw gebruikersmap. Dat kan met de volgende terminalopdrachten (kopieer en plak ze in de terminal):

Allereerst:
mkdir -v ~/.config/firejail

Druk op Enter.

Daarna:
cp -v /etc/firejail/google-chrome-stable.profile ~/.config/firejail

Druk op Enter.

Tot slot, als u kladblokje Leafpad heeft geïnstalleerd (zo niet, gebruik een ander kladblokje):

leafpad ~/.config/firejail/google-chrome-stable.profile

Druk op Enter.

Dan kunt u veilig experimenteren in het gekopieerde profiel, en blijven uw wijzigingen tenminste ook in stand wanneer u een nieuwere versie van Firejail installeert.

U kunt Firejail ook opstarten met allerlei geavanceerde parameters. Die kunt u hier nakijken.

Chrome volledig in de zandbak gooien (voor gevorderden)

9. Het is ook mogelijk om de Chrome in uw gebruikersaccount volledig in de zandbak te gooien, ongeacht hoe u hem start. Dat raad ik niet aan, want dan loopt u waarschijnlijk van tijd tot tijd tegen beperkingen aan. Maar als u het toch wil, dan zijn dit de twee terminaltoverspreuken om dat te bewerkstelligen:

Eerst dit (het is één regel):
cp -v /usr/share/applications/google-chrome.desktop ~/.local/share/applications

Daarna dit (het is één regel):
sed -i 's/google-chrome-stable/firejail google-chrome-stable/g' .local/share/applications/google-chrome.desktop

Sluit Chrome en start hem opnieuw.

Ongedaan maken kan zo:

rm -v ~/.local/share/applications/google-chrome.desktop

Sluit Chrome en start hem opnieuw.

Nog meer programma's in de zandbak?

10. De webbrowser is uiteraard het meest nuttig om te beveiligen, want die staat aan de allermeeste gevaren bloot. Maar op dezelfde manier als bij Firefox en Chrome, kunt u nog meer toepassingen in de zandbak gooien.

Daarvoor kunt u het beste eerst even nakijken of Firejail wel een speciaal profiel heeft voor uw specifieke toepassing. Want anders draait Firejail met een generiek profiel, wat problemen kan veroorzaken bij die specifieke toepassing.
De aanwezige profielen staan in /etc/firejail .

Als u een e-mailprogramma als Thunderbird gebruikt of een torrentprogramma als Transmission, dan is het waarschijnlijk een goed idee om ook die te zandbakken met Firejail.

Firejail gebruiken om internettoegang te blokkeren voor individuele programma's

11. U kunt Firejail ook gebruiken om individuele toepassingen internettoegang te ontzeggen. U hebt dan geen ingewikkelde firewall-regels nodig om te voorkomen dat een programma stiekem een internetverbinding legt!

Dat kunt u doen met de optie --protocol=unix. Dit is een voorbeeld voor mediaspeler VLC; kopieer en plak de volgende opdrachtregel in de terminal en druk op Enter:

firejail --protocol=unix vlc

Let op: u kunt ook de optie --net=none gebruiken. Maar die resulteert soms in een programma dat eruit knalt, of in rode foutmeldingen in de terminal. Vandaar dat ik die optie niet aanraad.

De optie --net=none heeft hetzelfde effect als de optie --protocol=unix, maar kan DBUS-functionaliteit verstoren. Het verschil is: in het ene geval ziet het programma het hele netwerk niet eens (en kan er dus ook niet mee verbinden), en in het andere geval ziet het programma het netwerk wel, maar kan er toch niet mee verbinden.


Tip: wilt u regelmatig een bepaalde toepassing draaien met geblokkeerd internet? Maak er dan gewoon een eigen bureaubladstarter van, waarin dit Firejail-voorvoegsel is opgenomen.

Uitgebreidere handleiding voor geavanceerd gebruik

12. Een uitgebreidere handleiding voor Firejail, mede gericht op geavanceerd gebruik, vindt u op het Engelstalige forum van Linux Mint (auteur: xenopeek).

Meer tips?

Wilt u meer tips en trucs voor Linux? U vindt er nog veel meer op deze webstek!

Op de inhoud van deze webstek is een Creative Commons-licentie van toepassing.
Algemeen voorbehoud en uitsluiting aansprakelijkheid


Comments