Eine Sandbox sperrt Prozesse in ein Verzeichnis und schottet diese so gesehen vom restlichen System ab. Mit Firejail ist dies auch unter Linux problemlos und ganz einfach möglich.

Firejail installieren

Unter auf Debian basierenden Linux-Distributionen installieren Sie diese Software ganz einfach über die Paket-Verwaltung durch das Paketfirejail„, mit dem Paketfiretools“ erhalten Sie auch eine grafische Oberfläche.

Firejail nutzen

Firejail wird am Terminal genutzt – dies funktioniert jedoch ganz einfach. Die Software verfügt zumindest unter auf Debian basierenden Systemen schon über vorgefertigte Profile – diese werden mit der Software automatisch installiert. Diese Profile lassen Sie sich mit dem Befehl:

less | ls /etc/firejail/

anzeigen:

Alternativ sehen Sie sich die Profile ganz einfach im Dateimanager an „/etc/firejail/„:

Aktuell sind dies über 1100 Profile, diese Profile regeln, was eine Anwendung tun darf, auf welche Verzeichnisse und Dateien diese zugreifen darf. Hier ein Beispiel für ein solches Profil:

Solche Dateien können Sie übrigens auch als Vorlage für eigene Profile nutzen. Nun, ist ein Profil für die gewünschte Anwendung oder den Befehl vorhanden können Sie Firejail ohne weitere Optionen nutzen, nehmen wir einmal Firefox:

firejail firefox

Möchten Sie eine Software komplett vom restlichen System abschotten, sodass diese auf überhaupt keine Ihrer Dateien Zugriff hat. Für diesen Fall legt man sich ein Verzeichnis an – in diesem Beispiel werde ich Firefox nutzen – also werde ich in meinem Home-Verzeichnis ein Verzeichnis namens „firefox“ anlegen und die Anwendung nun auf dieses Verzeichnis beschränken:

firejail --private=/home/nutzername/firefox/ firefox

Die Syntax sieht also so aus:

firejail --private=/Pfad/zum/Verzeichnis/ Befehl

Die Anwendung kann nicht aus dem Verzeichnisfirefox“ heraus, sie kann nicht einmal auf die Systemdateien zugreifen, die sie eigentlich benötigt – stattdessen wird im Verzeichnis, in dem sie eingesperrt ist, die Dateien und Verzeichnisse angelegt, die sie benötigt, um zu funktionieren. Selbst wenn in diesem Fall Firefox über eine Webseite gehackt wird – sie kann nicht auf Daten außerhalb dieses Verzeichnisses zugreifen.

Ein weiteres Beispiel wäre es eine Anwendung zwar lesend auf alle Dateien zugreifen kann, jedoch keine Änderungen vornehmen kann. In diesem Fall nutzt die Software ein virtuelles Dateisystem – für die Software sieht es zwar aus, als könnte sie etwa Dateien verändern – in Wahrheit geschieht dies jedoch nicht. Hierfür nutzt man die Option „–overlay„:

firejail --overlay gedit

Ich selbst nutze Firejail vor allem bei Anwendungen, die ich mir von Webseiten herunterlade, etwa Appimages:

firejail --private=/home/nutzername/Verzeichnis/ Dateiname.appimage

Firetools nutzen

Die Firetools sind wie weiter oben schon beschrieben eine grafische Oberfläche für Firejail, Sie finden diese Software im Anwendungsmenü unter der Kategorie System, alternativ nutzen Sie den Schnellstarter (Alt+F2) oder das Terminal mit dem Befehl:

firetools

Das kleine Fenster bietet einige vorgefertigte Starter für die jeweiligen Anwendungen mit den Profilen unter „/etc/firejail/„, diese müssen nicht einmal installiert sein. Um eine der Anwendungen zu starten, klicken Sie doppelt darauf – wie schon beschrieben startet die jeweilige Anwendung mit ihrem vorgefertigten Profil.

Links oben finden Sie zwei Schalter zur Konfiguration der Software, per Rechtsklick auf die zwei freien Plätze können Sie mittels „Edit“ neue Starter anlegen:

Sie geben einfach eine Bezeichnung an, wenn gewünscht eine Beschreibung und den Befehl zum Start der Anwendung – genauso wie Sie die Software auf dem Terminal mittels Firejail starten würden.

Hier gibt es leider nur zwei freie Plätze – Sie können jedoch die bereits vorhandenen Starter auf dieselbe Art modifizieren.

Erstveröffentlichung: Mo 20. Sep 2021, 21:55

Categories:

Tags:

Schreibe einen Kommentar

Eine Reaktion

Neue Themen im Forum
Debian installieren - für Anfänge …Da treten nun einige Fragen auf: Netzwerk einrichten - Domain-N … Weiterlesen
Frage zu GrubDanke @juhu, das war für mich eine reine Verständnisfrage allge … Weiterlesen
Brother Drucker unter LinuxMit der Suche nach „Linux Brother HL-2030“ fand ich zur Seite htt … Weiterlesen
Kategorien im Wiki
WIKI-Beiträge des Monates

Die Beiträge des Monates finden Sie im Kalender unter den blau markierten Tageszahlen.

September 2023
M D M D F S S
 123
45678910
11121314151617
18192021222324
252627282930  
Archive