{"id":3817,"date":"2023-09-13T12:12:01","date_gmt":"2023-09-13T10:12:01","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=3817"},"modified":"2023-09-13T12:12:03","modified_gmt":"2023-09-13T10:12:03","slug":"firejail-anwendungen-unter-linux-in-die-sandbox","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2023\/09\/13\/firejail-anwendungen-unter-linux-in-die-sandbox\/","title":{"rendered":"Firejail – Anwendungen unter Linux in die Sandbox"},"content":{"rendered":"\n

Eine Sandbox sperrt Prozesse in ein Verzeichnis<\/a> und schottet diese so gesehen vom restlichen System ab. Mit Firejail ist dies auch unter Linux<\/a> problemlos und ganz einfach möglich.
<\/p>\n\n\n\n

Firejail installieren<\/h2>\n\n\n\n

Unter auf Debian<\/a> basierenden Linux<\/a>-Distribution<\/a>en installieren Sie diese Software ganz einfach über die Paket-Verwaltung<\/a> durch das Paket<\/a> „firejail<\/strong>„, mit dem Paket<\/a> „firetools<\/strong>“ erhalten Sie auch eine grafische Oberfläche.<\/p>\n\n\n\n

Firejail nutzen<\/h2>\n\n\n\n

Firejail wird am Terminal<\/a> genutzt – dies funktioniert jedoch ganz einfach. Die Software verfügt zumindest unter auf Debian<\/a> basierenden Systemen schon über vorgefertigte Profile – diese werden mit der Software automatisch installiert. Diese Profile lassen Sie sich mit dem Befehl<\/a>:<\/p>\n\n\n\n

less | ls \/etc\/firejail\/<\/code><\/pre>\n\n\n\n
anzeigen:<\/p>\n\n\n
\n
\"\"<\/a><\/figure>\n<\/div>\n\n\n
Alternativ sehen Sie sich die Profile ganz einfach im Dateimanager<\/a> an „\/etc\/firejail\/<\/em>„:<\/p>\n\n\n
\n
\"\"<\/a><\/figure>\n<\/div>\n\n\n
Aktuell sind dies über 1100 Profile, diese Profile regeln, was eine Anwendung tun darf, auf welche Verzeichnis<\/a>se und Datei<\/a>en diese zugreifen darf. Hier ein Beispiel für ein solches Profil:<\/p>\n\n\n
\n
\"\"<\/a><\/figure>\n<\/div>\n\n\n
Solche Datei<\/a>en können Sie übrigens auch als Vorlage für eigene Profile nutzen. Nun, ist ein Profil für die gewünschte Anwendung oder den Befehl<\/a> vorhanden können Sie Firejail ohne weitere Optionen nutzen, nehmen wir einmal Firefox:<\/p>\n\n\n\n
firejail firefox<\/code><\/pre>\n\n\n\n
Möchten Sie eine Software komplett vom restlichen System abschotten, sodass diese auf überhaupt keine Ihrer Datei<\/a>en Zugriff hat. Für diesen Fall legt man sich ein Verzeichnis<\/a> an – in diesem Beispiel werde ich Firefox nutzen – also werde ich in meinem Home<\/a>-Verzeichnis<\/a> ein Verzeichnis<\/a> namens „firefox<\/em>“ anlegen und die Anwendung nun auf dieses Verzeichnis<\/a> beschränken:<\/p>\n\n\n\n
firejail --private=\/home\/nutzername\/firefox\/ firefox<\/code><\/pre>\n\n\n\n
Die Syntax sieht also so aus:<\/p>\n\n\n\n
firejail --private=\/Pfad\/zum\/Verzeichnis\/ Befehl<\/code><\/pre>\n\n\n
\n
\"\"<\/a><\/figure>\n<\/div>\n\n\n
Die Anwendung kann nicht aus dem Verzeichnis<\/a> „firefox<\/em>“ heraus, sie kann nicht einmal auf die Systemd<\/a>ateien zugreifen, die sie eigentlich benötigt – stattdessen wird im Verzeichnis<\/a>, in dem sie eingesperrt ist, die Datei<\/a>en und Verzeichnis<\/a>se angelegt, die sie benötigt, um zu funktionieren. Selbst wenn in diesem Fall Firefox über eine Webseite gehackt wird – sie kann nicht auf Daten<\/a> außerhalb dieses Verzeichnis<\/a>ses zugreifen.

Ein weiteres Beispiel wäre es eine Anwendung zwar lesend auf alle Datei<\/a>en zugreifen kann, jedoch keine Änderungen vornehmen kann. In diesem Fall nutzt die Software ein virtuelles Dateisystem<\/a> – für die Software sieht es zwar aus, als könnte sie etwa Datei<\/a>en verändern – in Wahrheit geschieht dies jedoch nicht. Hierfür nutzt man die Option „–overlay<\/strong>„:<\/p>\n\n\n\n
firejail --overlay gedit<\/code><\/pre>\n\n\n\n
Ich selbst nutze Firejail vor allem bei Anwendungen, die ich mir von Webseiten herunterlade, etwa Appimages<\/a>:<\/p>\n\n\n\n
firejail --private=\/home\/nutzername\/Verzeichnis\/ Dateiname.appimage<\/code><\/pre>\n\n\n\n
Firetools nutzen<\/h2>\n\n\n\n
Die Firetools sind wie weiter oben schon beschrieben eine grafische Oberfläche für Firejail, Sie finden diese Software im Anwendungsmenü unter der Kategorie System<\/em>, alternativ nutzen Sie den Schnellstarter (Alt+F2<\/em>) oder das Terminal<\/a> mit dem Befehl<\/a>:<\/p>\n\n\n\n
firetools<\/code><\/pre>\n\n\n
\n
\"\"<\/a><\/figure>\n<\/div>\n\n\n
Das kleine Fenster bietet einige vorgefertigte Starter für die jeweiligen Anwendungen mit den Profilen unter „\/etc\/firejail\/<\/em>„, diese müssen nicht einmal installiert sein. Um eine der Anwendungen zu starten, klicken Sie doppelt darauf – wie schon beschrieben startet die jeweilige Anwendung mit ihrem vorgefertigten Profil.

Links oben finden Sie zwei Schalter zur Konfiguration<\/a> der Software, per Rechtsklick auf die zwei freien Plätze können Sie mittels „Edit<\/em>“ neue Starter anlegen:<\/p>\n\n\n
\n
\"\"<\/a><\/figure>\n<\/div>\n\n\n
Sie geben einfach eine Bezeichnung an, wenn gewünscht eine Beschreibung und den Befehl<\/a> zum Start der Anwendung – genauso wie Sie die Software auf dem Terminal<\/a> mittels Firejail starten würden.

Hier gibt es leider nur zwei freie Plätze – Sie können jedoch die bereits vorhandenen Starter auf dieselbe Art modifizieren.<\/p>\n\n\n\n
Erstveröffentlichung: Mo 20. Sep 2021, 21:55<\/strong><\/p>\n
\r\n    
\r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    4    <\/span>\r\n<\/div>
\r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    <\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"
Eine Sandbox sperrt Prozesse in ein Verzeichnis und schottet diese so gesehen vom restlichen System ab. Mit Firejail ist dies auch unter Linux problemlos und ganz einfach m\u00f6glich. Firejail installieren Unter auf Debian basierenden Linux-Distributionen installieren Sie diese Software ganz einfach \u00fcber die Paket-Verwaltung durch das Paket „firejail„, mit dem Paket „firetools“ erhalten Sie auch […]<\/p>\n","protected":false},"author":1,"featured_media":3826,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[72],"tags":[],"class_list":["post-3817","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/3817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=3817"}],"version-history":[{"count":2,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/3817\/revisions"}],"predecessor-version":[{"id":3837,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/3817\/revisions\/3837"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/3826"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=3817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=3817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=3817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}