AA_123rf-5005844_SandraVanDerSteen-123RF.jpg

© Sandra Van Der Steen, 123RF

Programme mit Firetools abgesichert starten

Sandkasten

Die grafische Benutzeroberfläche Firetools vereinfacht die Nutzung der Sicherheitssoftware Firejail und liefert obendrein nützliche Statistiken und Übersichten.

Das Konsolenprogramm Firejail startet Prozesse jeweils in eigenen sogenannten Sandboxen. Diese gegeneinander abgeschotteten Gefängnisse begrenzen den Zugriff auf das restliche System. Übernimmt etwa ein Angreifer über eine Sicherheitslücke den Webbrowser, bleibt er in der Sandbox gefangen, ohne weiteren Schaden anzurichten. Allerdings gilt es, das nützliche Tool umständlich über zahlreiche Parameter auf der Kommandozeile zu steuern [1].

Deswegen entwickelten die Entwickler von Firejail das Werkzeug Firetools, eine grafische Benutzeroberfläche für Firejail. Sie basiert auf dem Framework Qt4, das unter anderem auch KDE 4 verwendet. Trotz der schon recht hohen Versionsnummer 0.9.26.1 begann die Entwicklung von Firetools erst im Frühjahr 2015. Der Funktionsumfang des jungen Werkzeugs gestaltet sich daher noch überschaubar, die Kernfunktionen stehen aber. So genügt ein schlichter Doppelklick, um eine Anwendung in einer Sandbox zu starten. Statistiken erlauben darüber hinaus die Kontrolle des Programms.

Installation

Auf der Firejail-Homepage finden Sie Binärpakete für Debian, Ubuntu, Linux Mint, Fedora, OpenSuse, CentOS 7 und RHEL 7 [2]. Während für Debian, Ubuntu und Mint auch 32-Bit-Versionen bereitstehen, setzen die Pakete für die übrigen Distributionen zwingend ein 64-Bit-System voraus. Anwender von Arch Linux finden Firejail im AUR [3], Pakete für Slackware liefert das SlackBuilds Directory [4]. In jedem Fall spielen Sie das heruntergeladene Paket über den Paketmanager der verwendeten Distribution ein.

Fehlt ein Paket für die von Ihnen genutzte Distribution, müssen Sie Firejail per Hand übersetzen. Dazu installieren Sie zunächst über den Paketmanager einen C-Compiler, Make und die Kernel-Header. Dann entpacken Sie das von der Firejail-Website heruntergeladene Quellarchiv, wechseln in das dabei neu entstandene Verzeichnis und installieren Firejail mit dem klassischen Dreisprung (Listing 1). Neben Firejail und Qt4 (meist im Paket libqt4) verlangt Firetools das Terminalprogramm Xterm, das die meisten Distributionen bereits mitbringen.

Listing 1

$ ./configure && make && sudo make install

Je nach Distribution finden Sie Firetools nach der Installation im Startmenü beziehungsweise unter Ubuntu über das Dash. Dort taucht das Werkzeug als Firejail Tools auf. Im Zweifelsfall drücken Sie [Alt]+[F2] (oder öffnen ein Terminal) und starten das Programm mit dem Aufruf firetools.

Hinter Gitter

Mit einem Doppelklick auf eines der Symbole im rot gefärbten Hauptfenster von Firetools (Abbildung 1) starten Sie das entsprechende Programm in einer Sandbox. So öffnet ein Doppelklick auf die Weltkugel beispielsweise den Webbrowser Firefox in einer abgesicherten Umgebung. Alternativ rechtsklicken Sie auf ein Symbol und wählen aus dem Kontextmenü Run. Hinter dem Terminal-Symbol verbirgt sich übrigens Xterm, nicht etwa die von der verwendeten Desktop-Umgebung angebotene Terminalemulation.

Um das rote Fenster zu verschieben, platzieren Sie den Mauszeiger darauf. Halten Sie dann die linke Maustaste gedrückt und ziehen Sie das Fenster an die gewünschte Position. Ein Klick auf den kleinen weißen Strich rechts oben in der Ecke minimiert das Fenster. Unter Ubuntu bleibt dann nur noch ein Symbol rechts oben im Panel zurück. Um das Fenster wieder anzuzeigen, klicken Sie das Symbol an und wählen Restore.

Abbildung 1: Ein Klick auf das jeweilige Icon genügt, um das Programm mit Firejail in einer sicheren Sandbox zu starten.

Das rote Hauptfenster verwaltet derzeit maximal zwölf Anwendungen. Um ein eigenes Programm hinzuzufügen, klicken Sie mit der rechten Maustaste auf einen noch freien Platz und wählen Edit. Im Fenster aus Abbildung 2 geben Sie jetzt den Namen des Programms an sowie eine Beschreibung, die später im Tool-Tipp erscheint. Unter Command hinterlegen Sie das Firejail-Kommando, mit dem Firetools die Anwendung in eine Sandbox sperrt. Für eine einfache Sandbox genügt es, firejail gefolgt vom Programmnamen einzutippen.

Abbildung 2: In den Einstellungen des jeweiligen Eintrags geben Sie das Firejail-Kommando vor. In diesem Beispiel würde Firetools den Dokumentenbetrachter Evince starten.

Listing 2

$ firejail --seccomp --caps.drop=all libreoffice

Sie erhöhen die Sicherheit, indem Sie über entsprechende Parameter zwei zusätzliche Sicherheitsmechanismen des Kernels aktivieren. Das Beispiel aus Listing 2 sperrt auf diese Weise LibreOffice ein. Doch Vorsicht: Firetools ruft tatsächlich nur den hier hinterlegten Befehl auf. Insbesondere stellt es nicht sicher, dass die Anwendung in einer Sandbox läuft. Wenn Sie etwa nur firefox in das Feld eintippen, startet Firetools folglich den Browser außerhalb eines Gefängnisses.

Die Angaben lassen sich nachträglich ändern, indem Sie im roten Hauptfenster über dem entsprechenden Programm die rechte Maustaste drücken und dann Edit wählen. Um ein Programm aus dem Fenster zu entfernen, wählen Sie Delete aus dem Kontextmenü. Das funktioniert allerdings nur mit von Ihnen hinzugefügten Programmen; die bereits vorhandenen Symbole lassen sich nicht löschen, sondern nur via Edit nachbearbeiten.

Es gibt noch mehr Unzulänglichkeiten: So dürfen Sie keine eigenen Symbole einbinden. Die von Ihnen hinzugefügten Programme erscheinen nur mit einem Text. Des Weiteren vergisst Firetools in der Version aktuellen Version 0.9.26.1 sämtliche Einstellungen, sobald Sie das Fenster mit einem Rechtsklick und der Wahl von Quit beenden. Das gilt sowohl für editierte als auch neue Einträge.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Heiße Zelle
    Firejail erhöht die Sicherheit, indem es beliebige Programme und Prozesse in voneinander abgeschottete Gefängnisse sperrt und den Zugriff auf das Dateisystem strikt reglementiert.
  • Angetestet
    Datenbanken bequem verwalten mit Adminer 4.1.0, Dateien schnell durchsuchen mit Find and Replace 1.8, Programme sicher einsperren mit Firejail 0.9.6, Datendurchsatz jederzeit im Blick mit Vnstat 1.12b
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 0 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...
Tinte sparen bei neuem Drucker
Lars Schmitt, 30.11.2017 17:43, 2 Antworten
Hi Leute, ich habe mir Anfang diesen Monats einen Tintenstrahldrucker angeschafft, der auch su...
Für Linux programmieren
Alexander Kramer, 25.11.2017 08:47, 3 Antworten
Ich habe einen Zufallsgenerator entworfen und bereits in c++ programmiert. Ich möchte den Zufalls...