Privatvergnügen

Des Weiteren kann Firejail die Sandbox in einen sogenannten Private Mode schalten. Dabei versteckt die Sandbox das komplette Heimatverzeichnis vor allen in ihren laufenden Programmen. Diese sehen dann nur leere /root- und /home-Verzeichnisse. Alle in diese Ordner geschriebenen Dateien verwirft Firejail nach dem Beenden der Sandbox. Den Private Mode aktivieren Sie über den Parameter --private (Listing 3, erste Zeile).

Anstelle von /root und /home können Sie auch ein beliebiges anderes Verzeichnis in die Sandbox reichen. Dann bleiben die vom Programm erstellten Dateien erhalten, landen aber nicht in den echten /root- und /home-Verzeichnissen, sondern im von Ihnen angegebenen Ersatzverzeichnis. Im Beispiel aus der zweiten Zeile von Listing 3 würde Firefox in der Sandbox den Inhalt des Unterverzeichnisses ~/muell als Heimatverzeichnis sehen (Abbildung 3).

Listing 3

$ firejail --private firefox
$ firejail --private=~/muell firefox
Abbildung 3: Firejail hängt das Unterverzeichnis ~/muell mit einer Datei in die Sandbox. Die darin laufende Shell sieht als Heimatverzeichnis nur noch den Inhalt von ~/muell.

Rumhängen

In allen bisher vorgestellten Konfigurationen sehen die Programme in der Sandbox Dateien aus dem lokalen Dateisystem – mal mehr davon, mal weniger. Auch das lässt sich verhindern, indem Sie das Dateisystem einer komplett anderen Linux-Installation in die Sandbox einhängen.

Das entsprechende Dateisystem darf auf einer anderen Partition liegen, oder aber Sie installieren in ein separates Verzeichnis ein komplett neues Linux-System. Letzteres erledigen verschiedene Werkzeuge; unter Debian hilft etwa Debootstrap (Abbildung 4). Anschließend müssen Sie Firejail nur noch den Namen des Unterverzeichnisses mitteilen (Abbildung 5). Der folgende Befehl etwa hängt das Verzeichnis /debian als Root-Dateisystem in die Sandbox ein und startet darin dann Iceweasel:

$ sudo firejail --chroot=/debian iceweasel --name=debian
Abbildung 4: Diese beiden Befehle erstellen schnell eine neue Debian-Installation im Unterverzeichnis /debian, die sich dann …
Abbildung 5: … einer Sandbox unterschieben lässt.

Der Webbrowser sieht jetzt nur noch die Dateien und Verzeichnisse unterhalb von /debian.

Starten Sie die Sandbox anders als in Abbildung 5 als normaler Nutzer, dann läuft das Programm in der Sandbox unter deren zugehörigen Benutzer-ID (UID). Die UIDs auf Ihrem und dem in der Sandbox genutzten System müssen dann übereinstimmen.

Der Parameter --name= schließlich ändert den Hostnamen. Im Beispiel würde folglich Iceweasel glauben, es liefe auf einem Rechner namens debian.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sandkasten
    Die grafische Benutzeroberfläche Firetools vereinfacht die Nutzung der Sicherheitssoftware Firejail und liefert obendrein nützliche Statistiken und Übersichten.
  • Angetestet
    Datenbanken bequem verwalten mit Adminer 4.1.0, Dateien schnell durchsuchen mit Find and Replace 1.8, Programme sicher einsperren mit Firejail 0.9.6, Datendurchsatz jederzeit im Blick mit Vnstat 1.12b
  • Neue Version der Distribution Parrot dank Sanbox jetzt noch sicherer
    Die Distribution Parrot richtet sich mit ihren vorinstallierten Tools an Sicherheitsexperten und Penetration-Tester. Die jetzt freigegebene Version 3.9 möchte mit verschiedenen Neuerungen den Betrieb noch sicherer und zuverlässiger machen.
  • Digitale Ausgabe LU 04/2015 für 99 Cent
    Pünktlich zur Veröffentlichung der LinuxUser 04/2015 mit dem Titel "TV & Streaming" gibt es die digitalen Ausgaben als Android App, als Epaper für den Browser, im Appstore für iPhone und iPad und bei Amazon am 19. März für nur 99 Cent statt den üblichen 5,99 Euro.
  • Heft-DVDs 06/2014
Kommentare
Rumhängen
Fred (unangemeldet), Freitag, 23. Juni 2017 09:59:42
Ein/Ausklappen

Nun, ehe ich mit "meckern" anfange, muss ich erst mal ein dickes Lob los werden: der Artikel ist absolute Sahne.
Dass es bei mir mit Debian nicht geklappt hat, kann ich da nicht nachvollziehen. Alles lief perfekt, aber als ich debian mit firejail aufgerufen habe, wurde mir gesagt, dass /dev nicht vorhanden sei. Was natürlich auch gestimmt hat - nix da in /debian. Die Installation war also nicht korrekt und das lag dann an Debian selbst.
Ich werde es mal mit einem anderen System (außer Windows) probieren.


Bewertung: 155 Punkte bei 14 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...