Firejail – Führen Sie nicht vertrauenswürdige Anwendungen sicher unter Linux aus
Manchmal möchten Sie möglicherweise Anwendungen verwenden, die in verschiedenen Umgebungen nicht ausreichend getestet wurden, Sie müssen sie jedoch verwenden. In solchen Fällen ist es normal, dass Sie sich Sorgen um die Sicherheit Ihres Systems machen. Eine Möglichkeit unter Linux besteht darin, Anwendungen in einer Sandbox zu verwenden.
„Sandboxing ist die Möglichkeit, Anwendungen in einer begrenzten Umgebung auszuführen. Auf diese Weise wird der Anwendung eine begrenzte Menge an Ressourcen zur Verfügung gestellt, die für die Ausführung erforderlich sind. Dank der Anwendung Firejail können Sie nicht vertrauenswürdige Anwendungen sicher unter Linux ausführen.
Firejail ist eine SUID-Anwendung (Set Owner User ID), die das Risiko von Sicherheitsverletzungen verringert, indem sie die Ausführungsumgebung nicht vertrauenswürdiger Programme mithilfe von Linux-Namespaces und seccomp-bpf einschränkt .
Es sorgt dafür, dass ein Prozess und alle seine Nachkommen über eine eigene geheime Sicht auf die global gemeinsam genutzten Kernel-Ressourcen verfügen, z. B. den Netzwerkstapel, die Prozesstabelle und die Mount-Tabelle.
Einige der Funktionen, die Firejail verwendet:
- Linux-Namespaces
- Dateisystemcontainer
- Sicherheitsfilter
- Netzwerkunterstützung
- Ressourcenzuteilung
Detaillierte Informationen zu den Firejail-Funktionen finden Sie auf der offiziellen Seite.
So installieren Sie Firejail unter Linux
Die Installation kann abgeschlossen werden, indem das neueste Paket wie gezeigt mit dem Git-Befehl von der Github-Seite des Projekts heruntergeladen wird.
git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip
Falls Sie git nicht auf Ihrem System installiert haben, können Sie es wie folgt installieren:
sudo apt install git [On Debian/Ubuntu]
yum install git [On CentOS/RHEL]
dnf install git [On Fedora 22+]
Eine alternative Möglichkeit zur Installation von firejail besteht darin, das mit Ihrer Linux-Distribution verknüpfte Paket herunterzuladen und es mit dem Paketmanager zu installieren. Dateien können von der SourceForge-Seite des Projekts heruntergeladen werden. Sobald Sie die Datei heruntergeladen haben, können Sie sie wie folgt installieren:
sudo dpkg -i firejail_X.Y_1_amd64.deb [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm [On CentOS/RHEL/Fedora]
So führen Sie Anwendungen mit Firejail unter Linux aus
Sie sind jetzt bereit, Ihre Anwendungen mit Firejail auszuführen. Dies erreichen Sie, indem Sie ein Terminal starten und Firejail vor dem Befehl hinzufügen, den Sie ausführen möchten.
Hier ist ein Beispiel:
firejail firefox #start Firefox web browser
firejail vlc # start VLC player
Sicherheitsprofil erstellen
Firejail umfasst viele Sicherheitsprofile für verschiedene Anwendungen und sie werden gespeichert in:
/etc/firejail
Wenn Sie das Projekt aus dem Quellcode erstellt haben, finden Sie die Profile in:
path-to-firejail/etc/
Wenn Sie das Paket rpm/deb verwendet haben, finden Sie die Sicherheitsprofile unter:
/etc/firejail/
Benutzer sollten ihre Profile im folgenden Verzeichnis ablegen:
~/.config/firejail
Wenn Sie ein vorhandenes Sicherheitsprofil erweitern möchten, können Sie „include with path“ zum Profil verwenden und anschließend Ihre Zeilen hinzufügen. Das sollte etwa so aussehen:
cat ~/.config/firejail/vlc.profile
include /etc/firejail/vlc.profile
net none
Wenn Sie den Zugriff der Anwendung auf bestimmte Verzeichnisse einschränken möchten, können Sie genau dies mithilfe einer Blacklist-Regel erreichen. Sie können Ihrem Sicherheitsprofil beispielsweise Folgendes hinzufügen:
blacklist ${HOME}/Documents
Eine andere Möglichkeit, das gleiche Ergebnis zu erzielen, besteht darin, tatsächlich den vollständigen Pfad zu dem Ordner anzugeben, den Sie einschränken möchten:
blacklist /home/user/Documents
Es gibt viele verschiedene Möglichkeiten, wie Sie Ihre Sicherheitsprofile konfigurieren können, z. B. den Zugriff verweigern, nur Lesezugriff zulassen usw. Wenn Sie daran interessiert sind, benutzerdefinierte Profile zu erstellen, können Sie die folgenden Firejail-Anweisungen lesen.
Firejail ist ein großartiges Tool für sicherheitsbewusste Benutzer, die ihr System schützen möchten.