Privatvergnügen

Des Weiteren kann Firejail die Sandbox in einen sogenannten Private Mode schalten. Dabei versteckt die Sandbox das komplette Heimatverzeichnis vor allen in ihren laufenden Programmen. Diese sehen dann nur leere /root- und /home-Verzeichnisse. Alle in diese Ordner geschriebenen Dateien verwirft Firejail nach dem Beenden der Sandbox. Den Private Mode aktivieren Sie über den Parameter --private (Listing 3, erste Zeile).

Anstelle von /root und /home können Sie auch ein beliebiges anderes Verzeichnis in die Sandbox reichen. Dann bleiben die vom Programm erstellten Dateien erhalten, landen aber nicht in den echten /root- und /home-Verzeichnissen, sondern im von Ihnen angegebenen Ersatzverzeichnis. Im Beispiel aus der zweiten Zeile von Listing 3 würde Firefox in der Sandbox den Inhalt des Unterverzeichnisses ~/muell als Heimatverzeichnis sehen (Abbildung 3).

Listing 3

$ firejail --private firefox
$ firejail --private=~/muell firefox
Abbildung 3: Firejail hängt das Unterverzeichnis ~/muell mit einer Datei in die Sandbox. Die darin laufende Shell sieht als Heimatverzeichnis nur noch den Inhalt von ~/muell.

Rumhängen

In allen bisher vorgestellten Konfigurationen sehen die Programme in der Sandbox Dateien aus dem lokalen Dateisystem – mal mehr davon, mal weniger. Auch das lässt sich verhindern, indem Sie das Dateisystem einer komplett anderen Linux-Installation in die Sandbox einhängen.

Das entsprechende Dateisystem darf auf einer anderen Partition liegen, oder aber Sie installieren in ein separates Verzeichnis ein komplett neues Linux-System. Letzteres erledigen verschiedene Werkzeuge; unter Debian hilft etwa Debootstrap (Abbildung 4). Anschließend müssen Sie Firejail nur noch den Namen des Unterverzeichnisses mitteilen (Abbildung 5). Der folgende Befehl etwa hängt das Verzeichnis /debian als Root-Dateisystem in die Sandbox ein und startet darin dann Iceweasel:

$ sudo firejail --chroot=/debian iceweasel --name=debian
Abbildung 4: Diese beiden Befehle erstellen schnell eine neue Debian-Installation im Unterverzeichnis /debian, die sich dann …
Abbildung 5: … einer Sandbox unterschieben lässt.

Der Webbrowser sieht jetzt nur noch die Dateien und Verzeichnisse unterhalb von /debian.

Starten Sie die Sandbox anders als in Abbildung 5 als normaler Nutzer, dann läuft das Programm in der Sandbox unter deren zugehörigen Benutzer-ID (UID). Die UIDs auf Ihrem und dem in der Sandbox genutzten System müssen dann übereinstimmen.

Der Parameter --name= schließlich ändert den Hostnamen. Im Beispiel würde folglich Iceweasel glauben, es liefe auf einem Rechner namens debian.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sandkasten
    Die grafische Benutzeroberfläche Firetools vereinfacht die Nutzung der Sicherheitssoftware Firejail und liefert obendrein nützliche Statistiken und Übersichten.
  • Angetestet
    Datenbanken bequem verwalten mit Adminer 4.1.0, Dateien schnell durchsuchen mit Find and Replace 1.8, Programme sicher einsperren mit Firejail 0.9.6, Datendurchsatz jederzeit im Blick mit Vnstat 1.12b
  • Neue Version der Distribution Parrot dank Sanbox jetzt noch sicherer
    Die Distribution Parrot richtet sich mit ihren vorinstallierten Tools an Sicherheitsexperten und Penetration-Tester. Die jetzt freigegebene Version 3.9 möchte mit verschiedenen Neuerungen den Betrieb noch sicherer und zuverlässiger machen.
  • Digitale Ausgabe LU 04/2015 für 99 Cent
    Pünktlich zur Veröffentlichung der LinuxUser 04/2015 mit dem Titel "TV & Streaming" gibt es die digitalen Ausgaben als Android App, als Epaper für den Browser, im Appstore für iPhone und iPad und bei Amazon am 19. März für nur 99 Cent statt den üblichen 5,99 Euro.
  • Heft-DVDs 06/2014
Kommentare
Rumhängen
Fred (unangemeldet), Freitag, 23. Juni 2017 09:59:42
Ein/Ausklappen

Nun, ehe ich mit "meckern" anfange, muss ich erst mal ein dickes Lob los werden: der Artikel ist absolute Sahne.
Dass es bei mir mit Debian nicht geklappt hat, kann ich da nicht nachvollziehen. Alles lief perfekt, aber als ich debian mit firejail aufgerufen habe, wurde mir gesagt, dass /dev nicht vorhanden sei. Was natürlich auch gestimmt hat - nix da in /debian. Die Installation war also nicht korrekt und das lag dann an Debian selbst.
Ich werde es mal mit einem anderen System (außer Windows) probieren.


Bewertung: 195 Punkte bei 25 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 03/2018 NEUE DISTRIBUTIONEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Internet abschalten
Karl-Heinz Hauser, 20.02.2018 20:10, 2 Antworten
In der Symbolleiste kann man das Kabelnetzwerk ein und ausschalten. Wie sicher ist die Abschaltu...
JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...
XSane-Fotokopie druckt nicht mehr
Wimpy *, 30.01.2018 13:29, 2 Antworten
openSuse 42.3 KDE 5.8.7 Seit einem Software-Update druckt XSane keine Fotokopie mehr aus. Fehler...
TOR-Browser stürzt wegen Wikipedia ab
Wimpy *, 27.01.2018 14:57, 0 Antworten
Tor-Browser 7.5 based on Mozilla Firefox 52.8.0 64-Bit. Bei Aufruf von http: oder https://de.wi...
Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...