Firejail - Sandbox

Firejail

Firejail ist eine Sicherheitsanwendung unter Linux mit der man Anwendungen / Prozesse in eine Sandbox sperrt

Informationen

Manchmal installiert man sich Anwendungen, oder holt Software aus dem Internet bei der man sich nicht sicher ist ob diese nun dem System schaden könnte oder den Nutzer ausspioniert. In solchen Fällen hilft eine so genannte Sandbox, mit einer solchen sperrt man Anwendungen vom restlichen System aus und können nur auf solche Daten zugreifen auf die man sie auch lässt.

Firejail installieren

Unter auf Debian basierenden Systemen wie Ubuntu, Kubuntu, Linux Mint und so weiter installieren Sie diese Software ganz einfach über die Paket-Verwaltung durch die Pakete "firejail firejail-profiles".

Firejail nutzen

Mit Firejail kann man installierte Software sowie auch einfache ausführbare Anwendungen (etwa Appimages) vom restlichen System aussperren, dies kann etwa auch beim Webbrowser (etwa Firefox) vorteilhaft sein - auch solche Software hat immer wieder Fehler / Sicherheitslücken die eine Webseite ausnutzen könne um etwa auf Ihre privaten Daten zuzugreifen.

Das zweite oben genannte Paket ist nicht unbedingt ein Muss, dieses bietet ganz einfach bereits vorgefertigte Profile, starte ich beispielsweise Firefox mit Firejail als Sandbox würde ich dies so auf dem Terminal machen:

firejail firefox

Sind die Profile installiert durchsucht die Anwendung diese (liegen unter /etc/firejail/, selbst erstellte unter /home/nutzername/.config/firejail/) ob für die genannte Software ein Profil vorhanden ist, andernfalls nutzt die Software ein Standard-Profil nach "/etc/firejail/default.profile".

Ich selbst mache es gerne so das ich Anwendungen gleich in ein von mir erstelltes Verzeichnis sperre, für jede Anwendung die ich in eine Sandbox sperren möchte erstelle ich ein solches in meinem Home-Verzeichnis, für Firefox nenne ich dieses beispielsweise einfach "firefox":

Firejail - Software unter Linux in ein Verzeichnis / in eine Sandbox sperren

Firejail - Software unter Linux in ein Verzeichnis / in eine Sandbox sperren

Hier habe ich das Verzeichnis für Firefox neu angelegt, wie man sieht ist es leer. Um nun Firefox in dieses Verzeichnis zu sperren - dies bedeutet die Software hat nur noch Zugriff auf die Bibliotheken die es wirklich nutzen muss um zu funktionieren und eben auf dieses Verzeichnis starte ich die Software nun so:

firejail --private=/home/nutzername/firefox/ firefox

Firefox (oder welche Software auch immer) startet nun mit den Standard-Einstellungen und legt sich im angegebenen Verzeichnis seine eigene Verzeichnis-Struktur an:

Firejail - Software unter Linux in ein Verzeichnis / in eine Sandbox sperren

Firejail - Software unter Linux in ein Verzeichnis / in eine Sandbox sperren

Egal ob Sie nun eine Datei aus dem Internet speichern oder ob Sie (oder auch eine Webseite) auf Ihre Dateien zugreifen möchte - alles geschieht innerhalb des angegebenen Verzeichnisses, sie kann nicht ausbrechen: hier wurde eine Datei herunter geladen:

Firejail - Software unter Linux in ein Verzeichnis / in eine Sandbox sperren

Firejail - Software unter Linux in ein Verzeichnis / in eine Sandbox sperren

Es werden alle Verzeichnisse die benötigt werden angelegt, ein Zugriff auf weitere ist nicht möglich. So sieht man auch schön was tatsächlich passiert. Die Dateien die Sie herunter laden, Einstellungen die Sie in der Software vor nehmen bleiben in diesem Verzeichnis erhalten. Möchten Sie dies nicht starten Sie die Software so:

firejail --private firefox

In diesem Fall wird ein temporäres Verzeichnis angelegt in das der Prozess gesperrt wird, beenden Sie die Software wird auch das Verzeichnis gelöscht. Handelt es sich bei der Software um ein Appimage nutzen Sie zusätzlich den Befehl:

firejail --appimage --private=/home/nutzername/firefox/ firefox

Die Software kennt natürlich noch viel mehr Optionen die die meisten Nutzer aber kaum benötigen werden, falls doch Interesse besteht nutzt man auf dem Terminal den Befehl:

man firejail

Möchten Sie eine Anwendung immer mit Firejail starten lohnt es sich den Eintrag im Anwendungsmenü anzupassen - etwa unter KDE indem Sie das Menü rechts anklicken und den Eintrag "Menü-Einträge bearbeiten" wählen, navigieren Sie zur jeweiligen Anwendung - hier etwa Google Chrome:

Firejail - Software unter Linux in ein Verzeichnis / in eine Sandbox sperren

Firejail - Software unter Linux in ein Verzeichnis / in eine Sandbox sperren

Hier passen Sie nun den Befehl an, etwa statt:

/usr/bin/google-chrome-stable %U

setzen Sie:

firejail --private=/home/robertg/chrome/ google-chrome-stable

ein.