Im Profil

Statt Kommandozeilenparameter zu verwenden, können Sie für jedes Programm eine eigene Konfigurationsdatei erstellen. In diesen sogenannten Security Profiles aktivieren Sie bei Bedarf explizit die Funktionen --seccomp- und --caps. Darüber hinaus legen Sie detailliert fest, welche Verzeichnisse Firejail nicht oder nur schreibgeschützt in die Sandbox durchreichen soll, und geben die entsprechenden Einhängepunkte vor. Abschließend dürfen Sie auch noch der Sandbox ein paar Grenzen setzen und etwa die in ihr laufende Anzahl von Prozessen limitieren.

Sämtliche Security Profiles lagern im Verzeichnis /etc/firejail. Firejail 0.9.18 bringt Profile für Chromium, Dropbox, Evince, Firefox, Iceweasel und Midori mit. Der Dateiname des Profils beginnt dabei mit dem Namen des Programms und endet auf .profile. Das Profil für firefox steckt folglich in der Datei firefox.profile.

Sobald Sie firejail firefox aufrufen, wendet Firejail automatisch alle Einstellungen aus dem zugehörigen Security Profile an. Die Security Profiles selbst sind recht simpel aufgebaut, in jeder Zeile steht eine Einstellung. Die Tabelle "Security Profiles" zeigt die wichtigsten Einstellungen auf einen Blick. Weitere Informationen zum Aufbau eines Security Profiles liefert die Manpage man firejail-profile.

Security Profiles

Angabe Bedeutung
blacklist /usr/bin Firejail versteckt das Verzeichnis /usr/bin.
read-only /usr/bin Firejail bindet das Verzeichnis /usr/bin nur lesend ein.
tmpfs /etc Mountet ein Tmpfs-Dateisystem über das Verzeichnis /etc. Dort abgelegte Dateien werden nach dem Beenden der Sandbox verworfen.
bind /root/config/ssh,/etc/ssh Hängt das Verzeichnis /root/config/ssh als /etc/ssh in die Sandbox ein.
private /tmp/muell Hängt das Verzeichnis /tmp/muell als Heimatverzeichnis in die Sandbox ein.
caps Gleichbedeutend mit --caps.
seccomp Gleichbedeutend mit --seccomp.
rlimit-fsize 1024 Ein Programm in der Sandbox darf höchstens 1024 Byte große Dateien anlegen.
rlimit-nofile 500 Ein Programm in der Sandbox darf höchstens 500 Dateien gleichzeitig öffnen.
rlimit-nproc 1000 In der Sandbox lassen sich höchstens 1000 Prozesse erstellen.

Einblicke

Sämtliche laufenden Gefängnisse und die jeweils darin werkelnden Prozesse listet das Kommando firejail --list auf. Mit firejail --tree finden Sie schnell heraus, welches Programm welche anderen Prozesse gestartet hat und unter welchen Benutzerkennungen diese laufen (Abbildung 7). Der Parameter --top liefert eine ähnliche Ansicht wie das allseits bekannte top-Kommando.

Abbildung 7: Mit firejail --tree zeigt das Werkzeug die Prozesse aus den Sandboxen in einer Hierarchie an. Hier wurde in der unteren Sandbox eine Shell gestartet, die wiederum Firefox aufgerufen hat.

Sie können nachträglich in eine Sandbox wechseln. Dazu ermitteln Sie zunächst via firejail --list die Prozess-ID (PID) der Sandbox. In der angezeigten Liste mit allen Sandboxen erkennen Sie die gesuchte am Programmnamen. Ganz vorne in der entsprechenden Zeile steht die PID, wie etwa 2652 (Abbildung 8). Genau die hängen Sie jetzt einfach an den Parameter --join=:

$ firejail --join=2652

Firejail öffnet nun eine Shell, die in eben jener Sandbox läuft und den dort geltenden Restriktionen unterliegt. Um die Join-Funktion nutzen zu können, benötigen Sie einen Linux-Kernel ab der Version 3.8.

Abbildung 8: Hier läuft Firefox in einer Sandbox, in der firejail --join=2652 eine Shell öffnet.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sandkasten
    Die grafische Benutzeroberfläche Firetools vereinfacht die Nutzung der Sicherheitssoftware Firejail und liefert obendrein nützliche Statistiken und Übersichten.
  • Angetestet
    Datenbanken bequem verwalten mit Adminer 4.1.0, Dateien schnell durchsuchen mit Find and Replace 1.8, Programme sicher einsperren mit Firejail 0.9.6, Datendurchsatz jederzeit im Blick mit Vnstat 1.12b
  • Neue Version der Distribution Parrot dank Sanbox jetzt noch sicherer
    Die Distribution Parrot richtet sich mit ihren vorinstallierten Tools an Sicherheitsexperten und Penetration-Tester. Die jetzt freigegebene Version 3.9 möchte mit verschiedenen Neuerungen den Betrieb noch sicherer und zuverlässiger machen.
  • Digitale Ausgabe LU 04/2015 für 99 Cent
    Pünktlich zur Veröffentlichung der LinuxUser 04/2015 mit dem Titel "TV & Streaming" gibt es die digitalen Ausgaben als Android App, als Epaper für den Browser, im Appstore für iPhone und iPad und bei Amazon am 19. März für nur 99 Cent statt den üblichen 5,99 Euro.
  • Heft-DVDs 06/2014
Kommentare
Rumhängen
Fred (unangemeldet), Freitag, 23. Juni 2017 09:59:42
Ein/Ausklappen

Nun, ehe ich mit "meckern" anfange, muss ich erst mal ein dickes Lob los werden: der Artikel ist absolute Sahne.
Dass es bei mir mit Debian nicht geklappt hat, kann ich da nicht nachvollziehen. Alles lief perfekt, aber als ich debian mit firejail aufgerufen habe, wurde mir gesagt, dass /dev nicht vorhanden sei. Was natürlich auch gestimmt hat - nix da in /debian. Die Installation war also nicht korrekt und das lag dann an Debian selbst.
Ich werde es mal mit einem anderen System (außer Windows) probieren.


Bewertung: 155 Punkte bei 14 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...