Eine Sandbox sperrt Prozesse in ein Verzeichnis und schottet diese so gesehen vom restlichen System ab. Mit Firejail ist dies auch unter Linux problemlos und ganz einfach möglich.
Inhaltsverzeichnis
Firejail installieren
Unter auf Debian basierenden Linux-Distributionen installieren Sie diese Software ganz einfach über die Paket-Verwaltung durch das Paket „firejail„, mit dem Paket „firetools“ erhalten Sie auch eine grafische Oberfläche.
Firejail nutzen
Firejail wird am Terminal genutzt – dies funktioniert jedoch ganz einfach. Die Software verfügt zumindest unter auf Debian basierenden Systemen schon über vorgefertigte Profile – diese werden mit der Software automatisch installiert. Diese Profile lassen Sie sich mit dem Befehl:
less | ls /etc/firejail/anzeigen:
Alternativ sehen Sie sich die Profile ganz einfach im Dateimanager an „/etc/firejail/„:
Aktuell sind dies über 1100 Profile, diese Profile regeln, was eine Anwendung tun darf, auf welche Verzeichnisse und Dateien diese zugreifen darf. Hier ein Beispiel für ein solches Profil:
Solche Dateien können Sie übrigens auch als Vorlage für eigene Profile nutzen. Nun, ist ein Profil für die gewünschte Anwendung oder den Befehl vorhanden können Sie Firejail ohne weitere Optionen nutzen, nehmen wir einmal Firefox:
firejail firefoxMöchten Sie eine Software komplett vom restlichen System abschotten, sodass diese auf überhaupt keine Ihrer Dateien Zugriff hat. Für diesen Fall legt man sich ein Verzeichnis an – in diesem Beispiel werde ich Firefox nutzen – also werde ich in meinem Home-Verzeichnis ein Verzeichnis namens „firefox“ anlegen und die Anwendung nun auf dieses Verzeichnis beschränken:
firejail --private=/home/nutzername/firefox/ firefoxDie Syntax sieht also so aus:
firejail --private=/Pfad/zum/Verzeichnis/ Befehl
Die Anwendung kann nicht aus dem Verzeichnis „firefox“ heraus, sie kann nicht einmal auf die Systemdateien zugreifen, die sie eigentlich benötigt – stattdessen wird im Verzeichnis, in dem sie eingesperrt ist, die Dateien und Verzeichnisse angelegt, die sie benötigt, um zu funktionieren. Selbst wenn in diesem Fall Firefox über eine Webseite gehackt wird – sie kann nicht auf Daten außerhalb dieses Verzeichnisses zugreifen.
Ein weiteres Beispiel wäre es eine Anwendung zwar lesend auf alle Dateien zugreifen kann, jedoch keine Änderungen vornehmen kann. In diesem Fall nutzt die Software ein virtuelles Dateisystem – für die Software sieht es zwar aus, als könnte sie etwa Dateien verändern – in Wahrheit geschieht dies jedoch nicht. Hierfür nutzt man die Option „–overlay„:
firejail --overlay geditIch selbst nutze Firejail vor allem bei Anwendungen, die ich mir von Webseiten herunterlade, etwa Appimages:
firejail --private=/home/nutzername/Verzeichnis/ Dateiname.appimageFiretools nutzen
Die Firetools sind wie weiter oben schon beschrieben eine grafische Oberfläche für Firejail, Sie finden diese Software im Anwendungsmenü unter der Kategorie System, alternativ nutzen Sie den Schnellstarter (Alt+F2) oder das Terminal mit dem Befehl:
firetools
Das kleine Fenster bietet einige vorgefertigte Starter für die jeweiligen Anwendungen mit den Profilen unter „/etc/firejail/„, diese müssen nicht einmal installiert sein. Um eine der Anwendungen zu starten, klicken Sie doppelt darauf – wie schon beschrieben startet die jeweilige Anwendung mit ihrem vorgefertigten Profil.
Links oben finden Sie zwei Schalter zur Konfiguration der Software, per Rechtsklick auf die zwei freien Plätze können Sie mittels „Edit“ neue Starter anlegen:
Sie geben einfach eine Bezeichnung an, wenn gewünscht eine Beschreibung und den Befehl zum Start der Anwendung – genauso wie Sie die Software auf dem Terminal mittels Firejail starten würden.
Hier gibt es leider nur zwei freie Plätze – Sie können jedoch die bereits vorhandenen Starter auf dieselbe Art modifizieren.
Erstveröffentlichung: Mo 20. Sep 2021, 21:55
1
Eine Reaktion
[…] Wichtig – Firejail darf während der Installation nicht aktiv sein! Also während der Installation deaktivieren. […]