Mit Firejail 0.9.64rc1 sperren Sie Programme in eine sichere Umgebung ein.

Die Komplexität von Programmen steigt in der Regel immer weiter an und damit die Möglichkeit, dass Malware über eine Lücke einfällt. Da liegt es auf der Hand, entsprechende Software in einer abgeschotteten Umgebung wie Firejail auszuführen. Ältere Versionen des Tools sind in den Repositories der gängigen Distributionen bereits enthalten. Für die aktuelle Version bemühen Sie die Github-Seite des Projekts.

Firejail erzeugt beim Ausführen für jedes Programms eine eigene Laufzeitumgebung mit separatem Netzwerk-Stack und Verzeichnisbaum. Die Prozess-IDs der in der Umgebung laufenden Prozesse beziehen sich ebenfalls nur auf diese Kapsel, Inter-Prozesskommunikation (IPC) klappt nur zwischen den Prozessen einer Umgebung. Um ein Programm abzuschotten, greift Firejail auf die Kernel-Funktionen Chroot und Namespaces zurück. Ohne Parameter aufgerufen, startet es eine Bash-Shell in einer Sandbox und bindet das Root-Verzeichnis des Systems mit lesendem Zugriff ein. In dieser isolierten Umgebung starten Sie nun Programme abgekapselt vom restlichen System.

Das Speichern von Konfigurationen oder Dateien lässt das System nicht zu. Firejail bietet aber die Möglichkeit, Konfigurationsprofile für bestimmte Anwendungen zu erstellen. Die meisten Distributionen liefern für populäre Programme wie Xpdf oder Firefox bereits fertige Profile mit. Die Profildateien liegen neben der Firejail-Konfiguration im Verzeichnis /etc/firejail/. Sie legen fest, auf welche Befehle und Verzeichnisse das jeweilige Programm Zugriff erhalten soll. Jede Laufzeitumgebung erhält dabei eine eigene IP-Adresse. Weisen Anwender diese beim Start nicht explizit zu, übernimmt das Firejail. Auf einem Multiuser-System lassen sich die Nutzer mittels Firejail separieren, indem man Firejail als Login-Shell für das jeweilige Benutzerkonto in der /etc/passwd einträgt.

Per Jump 0.30.1 navigieren Sie blitzschnell durch Verzeichnisse.

Auf der Shell gestaltet sich die Navigation zwischen Verzeichnissen zuweilen umständlich. Hier schafft das in Go implementierte Tool Jump Abhilfe, für das es auf der Github-Seite des Projekts fertige Binärpakete gibt. Jump protokolliert alle besuchten Verzeichnisse, indem es mit dem Cd-Befehl interagiert. Später lassen sich diese dann per Kürzel direkt anspringen. Zur Interaktion mit Cd binden Sie Jump in die Shell-Konfiguration ein. Die dazu notwendigen Konfigurationsparameter liefert ein Aufruf mit dem Parameter shell; Sie müssen diese dann nur noch in die Bash- oder Zsh-Konfiguration einbinden, und beim nächsten Shell-Start steht Jump bereit.

Das Tool erfasst nun jeden Verzeichniswechsel und trägt das Verzeichnis in die Datei $HOME/.jump/scores.json ein. Der Aufruf jump chdir nimmt das aktuelle Verzeichnis explizit auf. Eine Liste aller erfassten Verzeichnisse liefert jump top. Um mit jump in ein Verzeichnis zu wechseln, geben Sie den Befehl jump cd ein, gefolgt von einer möglichst eindeutigen Zeichenkette aus dem gewünschten Verzeichnisnamen. Mittels Fuzzy-Matching ermittelt Jump das wahrscheinliche Verzeichnis. Standardmäßig wählt es bei mehreren möglichen Kandidaten immer den ersten. Ist das nicht das gesuchte Verzeichnis, genügt es, jump cd nochmals ohne Parameter anzugeben.

Eine effiziente Passwortverwaltung bietet Kc 2.5.0-beta1.

Mit einem Passwortspeicher wie Kc müssen Sie Ihre Passwörter nicht mehr auf einem Zettel unter der Tastatur notieren. Das in C implementierte Konsolenwerkzeug eignet sich auch für den Einsatz in einer Remote-Verbindung. Sie kompilieren das Tool in wenigen Schritten aus dem Quelltext. Seine Passwörter verwaltet Kc in sogenannten Schlüsselketten, von denen jede beliebig viele Passwörter enthalten darf. Ein Wechsel zwischen ihnen ist jederzeit möglich.

Bei genauer Betrachtung entspricht eine Schlüsselkette einer verschlüsselten XML-Datei. Zur Verschlüsselung kommen standardmäßig Algorithmen wie AES und CBC zum Einsatz. Als Hash-Funktion für Passwörter setzt Kc auf SHA512. Beim ersten Start legt das Tool seine Standardschlüsselkette unter $HOME/.kc/default.kcd an. Sie sichern diese mit einem Passwort der Wahl. Kc bietet eine simple, interaktive Shell. Im Prompt steht dabei immer die aktuell verwendete Schlüsselkette. Eine rudimentäre Hilfe erhalten Sie mit dem Befehl help.

Als Grundregel gilt: Befehle, die mit einem c beginnen, beziehen sich auf die Verwaltung der Schlüsselketten. So legt cnew eine neue Schlüsselkette an, new nimmt einen neuen Passworteintrag in die aktuellen Kette auf. Mit mv übertragen Sie Einträge aus der aktuellen Schlüsselkette in eine andere, mit cc wechseln Sie in eine andere Schlüsselkette. Für eine Suche in den Schlüsseln oder Schlüsselketten bietet das Programm die Befehle search und csearch. Mit dem Befehl xclip überträgt Kc einen Eintrag in die Zwischenablage. Für den Austausch mit anderen Tools exportieren Sie die Daten unverschlüsselt als XML-Datei.

Was im System los ist, bringt Sysglance 1.4.6 auf den Punkt.

Wer zur Statusüberwachung seines Systems keine Monitoring-Lösung wie Checkmk oder Nagios einrichten möchte, greift oft auf Tools wie Itop oder Top zurück. Die zeigen jedoch nur einen Teil der Daten an. Da Linux von Hause aus sehr auskunftsfreudig ist, braucht es ein Programm wie Sysglance, das diese Daten zusammenträgt und aufbereitet. Als Shell-Skript läuft Sysglance in der Konsole, benötigt fast keine Ressourcen und eignet sich damit für den Einsatz in einer Remote-Verbindungen. Es greift für seine Arbeit auf ohnehin installierte GNU-Tools wie Awk, Fdisk, Dmesg und Who zurück.

Als Shell-Skript ist das Tool direkt nach dem Entpacken ohne weitere Konfiguration einsatzbereit. Da einige Abfragen erweiterte Rechte erfordern, prüft Sysglance zunächst, ob der Anwender administrative Rechte besitzt. Falls nicht, quittiert es mit einem entsprechenden Hinweis den Dienst. Anderenfalls ermittelt es im nächsten Schritt die generellen Systemdaten, wie Hostname, Machine-ID, Betriebssystem, Kernel-Version und CPU-Architektur. Es folgen die Uptime und eine Liste der angemeldeten Anwender.

Die Hardware-Informationen geben Auskunft über die im Rechner verbaute CPU und GPU, die Massenspeicher und die Netzwerkkarte(n). Sysglance greift dabei auf Lspci, Lsusb und Fdisk zurück. Informationen zu den Dateisystemen bezieht das Tool via Lsblk und Df. Es folgt eine Übersicht über die Speicherauslastung und eine Analyse der Netzwerkverbindungen. Hier sehen Sie Details zu den IP-Adressen und aktiven Diensten. (cla)