Nützlicher Werkzeugkasten

Klicken Sie im Firetools-Fenster auf den Schriftzug Firetools oder wählen im Kontextmenü den Punkt Tools, so öffnet sich ein Fenster, das alle derzeit laufenden Sandboxen samt einigen relevanten Zusatzinformationen auflistet. In Abbildung 3 läuft Firefox etwa unter der Prozess-ID 19090, belegt 0,20 Prozent der Prozessorzeit und nimmt 268 296 Kibibyte Hauptspeicher in Beschlag. Das Programm wurde von Firetools mit dem Befehl firejail firefox gestartet (Command) und sendet momentan weder Daten (TX(KB/sec)), noch empfängt es welche (RX(KB/sec)). Die Daten aktualisiert Firetools permanent; im Test funktionierten jedoch die RX/TX-Zähler nicht und standen stets auf 0.

Abbildung 3: Die Prozessanalyse der Firetools listet alle damit gestarteten Programme auf. Hier laufen ein Terminal und Firefox jeweils in einer eigenen Sandbox.

Mit einem Klick auf eine Prozess-ID erhalten Sie detailliertere Informationen (Abbildung 4). Die Ansicht zeigt in zwei Kurven die Prozessorauslastung und den Speicherverbrauch des jeweiligen Prozesses in den letzten Minuten. Ungewöhnliche Ausschläge können dabei auf Angriffsversuche oder einen Amoklauf des Prozesses hindeuten. Um den Prozess zu killen, klicken Sie auf Shutdown. Der Process-Tree zeigt an, welche Unterprozesse die eingesperrte Anwendung gestartet hat. Diese Prozesse laufen dabei in der gleichen Sandbox. Per Join öffnen Sie eine Shell in eben dieser Sandbox. Das erweist sich etwa als nützlich, um die Prozesse in der Sandbox zu untersuchen oder kontrolliert zu beenden.

Abbildung 4: Die Statistiken geben Auskunft über den Ressourcenbedarf des kontrollierten Prozesses.

Das Analysefenster enthält noch die zwei Punkte Seccomp und Capabilities. Besteht die Hexadezimalzahl hinter Capabilities nicht komplett aus Nullen, darf der Prozess auf eine oder mehrere Systemfunktionen zugreifen. Um zu erfahren, um welche Funktionen es sich dabei im Einzelnen handelt, klicken Sie auf die Hexadezimalzahl (Abbildung 5). Steht Seccomp auf enabled, verbietet das System dem Prozess einige sicherheitskritische Aktionen. Unter anderem darf er dann keine Programme mit Root-Rechten (SUID) starten. Klicken Sie auf enabled, so erhalten Sie eine Liste aller unzulässigen Systemfunktionen und Aktionen (Abbildung 6). Um gezielt eine der Funktionen zu verbieten oder zu erlauben, müssen Sie Firejail entsprechende Parameter mitgeben, die unser Artikel in Ausgabe 04/2015 bereits ausführlich vorgestellt hat [1]. Firetools selbst bietet dafür im Moment noch keine Möglichkeiten.

Abbildung 5: Firetools zeigt nach einem Klick auf Capabilities auch alle von Firejail verbotenen Systemfunktionen an.
Abbildung 6: Der sogenannte Seccomp-Filter verbietet hier dem Prozess unter anderem das Mounten von Dateisystemen.

Über den Eintrag DNS öffnen Sie die aktuell auf dem System geltenden DNS-Einstellungen, ein Klick auf Home kehrt wieder in die Übersicht zurück. Dort erscheinen übrigens immer alle Firejail-Sandboxen, auch solche, die Sie in einem separaten Terminal an Firetools vorbei gestartet haben.

Fazit

Dass die Entwicklung von Firetools erst im Frühling 2015 begann, zeigt sich nicht zuletzt noch deutlich am recht reduzierten Funktionsumfang. Besonders unangenehm fällt auf, dass das Hauptfenster alle hinzugefügten Programme nach dem Beenden wieder vergisst, was das Tool in seiner jetzigen Form mehr oder weniger zum Anschauungsobjekt degradiert. Benötigen Sie eine bestimmte Funktion von Firejail, müssen Sie zudem die entsprechenden Parameter an den Programmaufruf anhängen. Die laufend aktualisierten Statistiken im Tools-Fenster geben immerhin einen guten und schnellen Überblick über die laufenden Prozesse. Sofern die Entwickler die beschriebenen Probleme zeitnah beheben, stellt Firetools ein durchaus brauchbares Werkzeug für den Umgang mit Firejail dar. 

Infos

[1] Firejail: Tim Schürmann, "Heiße Zelle", LU 04/2015, S. 84, http://www.linux-community.de/33890

[2] Firejail und Firetools herunterladen: https://l3net.wordpress.com/projects/firejail/#downloads

[3] AUR für Firejail: https://aur.archlinux.org/packages/firejail

[4] Firejail im Slackbuild-Repository: http://slackbuilds.org/repository/14.1/system/firejail/?search=firejail

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Heiße Zelle
    Firejail erhöht die Sicherheit, indem es beliebige Programme und Prozesse in voneinander abgeschottete Gefängnisse sperrt und den Zugriff auf das Dateisystem strikt reglementiert.
  • Angetestet
    Datenbanken bequem verwalten mit Adminer 4.1.0, Dateien schnell durchsuchen mit Find and Replace 1.8, Programme sicher einsperren mit Firejail 0.9.6, Datendurchsatz jederzeit im Blick mit Vnstat 1.12b
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...