Ziemlich beschränkt

Mit dem zusätzlichen Parameter --seccomp verbietet Firejail den Programmen in der Sandbox einige sicherheitskritische Aktionen. Unter anderem dürfen sie weder Kernel-Module laden noch den Swap-Speicher kontrollieren, Programme mit Root-Rechten (SUID) ausführen oder das System neu starten. Versucht eine Anwendung eine dieser Systemfunktionen aufzurufen, beendet sie der Kernel umgehend. Dieses äußerst nützliche Sicherheitsnetz steht allerdings erst ab einem Linux-Kernel in Version 3.5 zur Verfügung.

Ergänzend kennt Firejail den Parameter --caps. Mit ihm aktiviert Firejail einen Sicherheitsfilter im Kernel. Er blockiert unter anderem jeden Versuch, das System neu zu starten, den Kernel zu ersetzen, Kernel-Module zu laden, den Prozessen in der Sandbox mehr Rechenzeit (über den sogenannten Nice-Wert) und ihnen Systemadmin-Privilegien zu geben.

Die Optionen --seccomp und --caps unterbinden also teilweise dieselben Aktionen. Im Fall von --caps beendet der Kernel jedoch nicht den Prozess, sondern lässt ihn weiterlaufen. Zudem unterstützen auch ältere Linux-Kernel diesen Sicherheitsfilter.

Ins Netz gegangen

Auf Wunsch kann Firejail in die Sandbox eine eigene TCP/IP-Netzwerkschnittstelle einbauen. Diese lässt sich dann mit einer existierenden Netzwerk-Bridge verbinden. Das ist für Testzwecke nützlich oder aber, um eine demilitarisierte Zone (DMZ) aufzubauen.

Listing 4

$ firejail --net=br0 --ip=10.10.20.10 firefox

Mit dem Befehl aus Listing 4 würde Firejail die auf dem PC bereits existierende Netzwerk-Bridge br0 mit der Sandbox verbinden, in der wiederum Firefox läuft. Lassen Sie den Parameter --ip weg, dann versucht Firejail selbst eine passende freie IP-Adresse zu finden (Abbildung 6). Mit dem Parameter --net=none trennen Sie die Sandbox komplett vom Netzwerk.

Abbildung 6: In diesem Beispiel wurde zunächst eine Netzwerk-Bridge br0 eingerichtet und dann die Sandbox daran angeschlossen. Letztgenannte hat sich selbst eine noch nicht vergebene IP-Adresse verpasst.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sandkasten
    Die grafische Benutzeroberfläche Firetools vereinfacht die Nutzung der Sicherheitssoftware Firejail und liefert obendrein nützliche Statistiken und Übersichten.
  • Angetestet
    Datenbanken bequem verwalten mit Adminer 4.1.0, Dateien schnell durchsuchen mit Find and Replace 1.8, Programme sicher einsperren mit Firejail 0.9.6, Datendurchsatz jederzeit im Blick mit Vnstat 1.12b
  • Neue Version der Distribution Parrot dank Sanbox jetzt noch sicherer
    Die Distribution Parrot richtet sich mit ihren vorinstallierten Tools an Sicherheitsexperten und Penetration-Tester. Die jetzt freigegebene Version 3.9 möchte mit verschiedenen Neuerungen den Betrieb noch sicherer und zuverlässiger machen.
  • Digitale Ausgabe LU 04/2015 für 99 Cent
    Pünktlich zur Veröffentlichung der LinuxUser 04/2015 mit dem Titel "TV & Streaming" gibt es die digitalen Ausgaben als Android App, als Epaper für den Browser, im Appstore für iPhone und iPad und bei Amazon am 19. März für nur 99 Cent statt den üblichen 5,99 Euro.
  • Heft-DVDs 06/2014
Kommentare
Rumhängen
Fred (unangemeldet), Freitag, 23. Juni 2017 09:59:42
Ein/Ausklappen

Nun, ehe ich mit "meckern" anfange, muss ich erst mal ein dickes Lob los werden: der Artikel ist absolute Sahne.
Dass es bei mir mit Debian nicht geklappt hat, kann ich da nicht nachvollziehen. Alles lief perfekt, aber als ich debian mit firejail aufgerufen habe, wurde mir gesagt, dass /dev nicht vorhanden sei. Was natürlich auch gestimmt hat - nix da in /debian. Die Installation war also nicht korrekt und das lag dann an Debian selbst.
Ich werde es mal mit einem anderen System (außer Windows) probieren.


Bewertung: 155 Punkte bei 14 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...