Ich hatte schon einmal firejail, ein Programm um Anwendungen in Sandboxes vom restlichen System abzuschotten, installiert und damit herumexperimentiert. Aber aus Gründen, an die ich mich nicht mehr erinnere, habe ich es nie wirklich in mein System integriert.
In letzter Zeit ist mir firejail wieder durch Blogeinträge oder diesen Teil einer interessanten Artikelserie ins Gedächtnis gerufen worden und ich werde es nun für so viele Programme wie möglich nutzen.
Installation
Unter Debian ist firejail ab Stretch enthalten, bzw. für Jessie in den Backports verfügbar. Man installiert es denkbar einfach:
# apt install firejail
Einrichtung und Benutzung
Für viele Programme sind schon Profile unter /etc/firejail vorhanden
und man kann diese einfach nutzen, indem man die Anwendung per
firejail $PROGRAMMNAME aufruft. Per firecfg kann man sich für
installierte Programme, für die ein Profil vorhanden ist, folgendermaßen
automatisch Symlinks nach /usr/local/bin/ anlegen lassen:
# firecfg
Dadurch genügt es nun das Programm in einem Terminal oder per Alt+F2
mit dem Programmnamen ohne vorangestelltes firejail aufzurufen.
Mit folgendem Befehl kann man sich anzeigen lassen, welche Symlinks zu firejail von firecfg angelegt wurden:
$ firecfg --list
Da viele Programmstarter (.desktop-Dateien) unter
/usr/local/share/applications/ den kompletten Pfad zum binary
enthalten funktionieren die Verknüpfungen aus den Menüs der
Desktopumgebungen für diese Programme nicht mit firejail. Das lässt
sich ebenfalls automatisch mit firecfg beheben:
$ firecfg --fix
Dann scannt firecfg die .desktop-Dateien unter
/usr/local/share/applications/ nach vollständigen Pfadangaben bei
Exec= in den Startern von unterstützten Programmen, kopiert diese nach
~/.local/share/applications/ und trägt dort statt dem kompletten Pfad
nur den Namen des binary ein. Nach anschließendem Aus- und Einloggen
(bzw. Ausführen von r mittels Alt+F2 bei Gnome3) werden diese
Anwendungen nun automatisch in einer Sandbox geöffnet.
Man kann sich anzeigen lassen welche Programme gerade von firejail in einer Sandbox ausgeführt werden:
$ firejail --list
Oder man lässt sich auch sämtliche Subprozesse mit anzeigen:
$ firejail --tree
Eigene Profile anlegen
Möchte man ein Profil abändern erstellt man den Ordner
~/.config/firejail/ und kopiert das entsprechende Profil von
/etc/firejail/ in den erstellten Ordner ~/.config/firejail/. Man
kann die Profile natürlich auch global in /etc/firejail/ editieren,
aber die Änderungen könnten von Updates überschrieben werden.
Möchte man eigene Profile für Programme, für die kein Profil
mitgeliefert wird, anlegen macht man dies am Besten unter
~/.config/firejail/$BINARYNAME.profile. Es bietet sich an ein neues
Profil auf der Basis von /etc/firejail/default.profile aufzubauen.
Auf die Konfiguration von Profilen werde ich hier (noch?) nicht
eingehen, da ich auch noch in der Einarbeitungsphase stecke. Deshalb
gibt es hier auch "nur" einen Quickstart-Guide. firecfg --fix wird
leider in den Blogbeiträgen, die ich bisher zum Theme gelesen habe,
nicht erwähnt. Dummerweise habe ich es erst in der manpage gefunden
nachdem ich das schon händisch erledigt hatte. 😄
Profile testen [Update 2017-02-25]
Mit der Option --audit lassen sich Profile auf mögliche
Sicherheitslecks untersuchen. Ein einfacher Aufruf ohne weitere
Parameter prüft das Defaultprofil:
$ firejail --audit
Die vorhanden Profile lassen sich prüfen indem man einfach den Programmnamen übergibt:
$ firejail --audit firefox
Mögliche Sicherheitslöcher werden von firejail dann folgendermaßen berichtet:
UGLY: I can access files in /home/martin/.mozilla directory. Use "firejail --blacklist=/home/martin/.mozilla" to block it.
In dem fall ist es natürlich ok, dass firefox auf ~/.mozilla
zugreifen darf. Findet man aber Zugriffe auf Ordner, die man global
unterbinden möchte legt man eine Datei
/etc/firejail/disable-common.local an und fügt dort einen blacklist
Eintrag ein:
# Lokale firejail blacklist
blacklist ${HOME}/.gnupg
blacklist ${HOME}/.mozilla
blacklist ${HOME}/.thunderbird
Trotzdem sollte man die Programme die man mit firejail in den Berechtigungen einschränkt auch noch einzeln einem Audit unterziehen, da globale Einstellungen in den einzelnen Profilen wieder aufgehoben werden können.
Troubleshooting
Gnome-extensions AddOn im Firefox [Update 2016-12-03]
Heute fiel mir auf, dass ich keine Gnome-extensions mehr im Firefox
installieren konnte. Ich konnte es lösen indem ich folgende Zeilen dem
firefox.profile hinzugefügt habe:
noblacklist ~/.local/share/gnome-shell/extensions/
whitelist ~/.local/share/gnome-shell/extensions/
Das komplette Profil sieht nun so aus:
# Firejail profile for Mozilla Firefox (Iceweasel in Debian)
noblacklist ~/.mozilla
noblacklist ~/.cache/mozilla
noblacklist ~/.local/share/gnome-shell/extensions/
include /etc/firejail/disable-common.inc
include /etc/firejail/disable-programs.inc
include /etc/firejail/disable-devel.inc
caps.drop all
netfilter
nonewprivs
noroot
protocol unix,inet,inet6,netlink
seccomp
tracelog
whitelist ${DOWNLOADS}
mkdir ~/.mozilla
whitelist ~/.mozilla
mkdir ~/.cache/mozilla/firefox
whitelist ~/.cache/mozilla/firefox
whitelist ~/dwhelper
whitelist ~/.zotero
whitelist ~/.vimperatorrc
whitelist ~/.vimperator
whitelist ~/.pentadactylrc
whitelist ~/.pentadactyl
whitelist ~/.keysnail.js
whitelist ~/.config/gnome-mplayer
whitelist ~/.cache/gnome-mplayer/plugin
whitelist ~/.pki
# Gnome-Shell AddOn
whitelist ~/.local/share/gnome-shell/extensions/
# lastpass, keepassx
whitelist ~/.keepassx
whitelist ~/.config/keepassx
whitelist ~/keepassx.kdbx
whitelist ~/.lastpass
whitelist ~/.config/lastpass
#silverlight
whitelist ~/.wine-pipelight
whitelist ~/.wine-pipelight64
whitelist ~/.config/pipelight-widevine
whitelist ~/.config/pipelight-silverlight5.1
include /etc/firejail/whitelist-common.inc
# experimental features
#private-etc passwd,group,hostname,hosts,localtime,nsswitch.conf,resolv.conf,gtk-2.0,pango,fonts,iceweasel,firefox,adobe,mime.types,mailcap,asound.conf,pulse