Tip: draai je webbrowser en Flash Player in een veilige zandbak

[Pjotr]

Linux is sowieso al heel veilig, maar het kan natuurlijk altijd beter. Wil je je webbrowser beter beveiligen tegen inbraak in je gebruikersmap, en bovendien Adobe Flash Player in je webbrowser beter afschermen? Draai je webbrowser dan in een zandbak:
https://sites.google.com/site/computertip/zandbak

Doe er je voordeel mee!   

--Toevoeging: eerst alleen voor Firefox, maar nu ook een instructie voor Google Chrome.

[Pjotr]

Het verbaast me eigenlijk een beetje, dat er geen reacties komen op deze tip.... 

Met deze ingreep verhoog je de veiligheid van je webbrowser in één klap enorm. Zeker bij Firefox is dat van belang, want die draait Adobe Flash Player (een veel aangevallen programma) niet in een veilige "houder", zoals Chrome dat wel doet.

Kortom: voor de veiligheid is deze ingreep een van de belangrijkste tips op mijn webstek.

[partyrabbit]

Is zo'n profielkaping dan zo dringend aan de orde?
Ik sta een beetje in tweestrijd omdat al zou flash een lek hebben, dat dan de aanval toch wel op windows gericht zal zijn en op mijn linux niets uit kan richten.

Het zou dan vooral ook gaan om mijn profiel voor het hier serieuze problemen geeft.
De andere zijn beperkte users en backup's zijn voorhanden. Besmet? Verwijderen en nieuw+backup, en opgelost.

[Pjotr]

Het gaat niet alleen om profielkaping. Het is denkbaar, dat via je webbrowser *alle* bestanden in je /home (de bestanden die bewerkbaar zijn zonder rootrecht) worden benaderd. Ik zal mijn beginbericht even aanvullen....

Door de isolatie van de zandbak, blijft dat beperkt tot de bestanden in de map Downloads.

Met Firejail maak je in één klap je webbrowser enorm veel veiliger.

[Tom]

Ik neem aan dat het in Xubuntu ook gaat ?.

[Pjotr]

Ik neem aan dat het in Xubuntu ook gaat ?.

Jawel. In alle werkomgevingen. 

[MKe]

Interessant, dit kende ik nog niet.  Het lijkt gebruik te maken van dezelfde techniek als docker. Heb je dit veel gebruikt Pjotr? En wat zijn de nadelen?
Ik ga hier zeker eens mee experimenteren.

Overigens, voor de andere gebruikers: firejail maakt gebruik van een specifieke virtualisatie techniek van de Linux kernel. Heel kort door de bocht gezegd is het een soort lichtgewicht virtual machine, speciaal voor je ene applicatie. In plaats van een hele computer inclusief hardware en os te virtualiseren, zoals b.v. Virtualbox doet, wordt hier alleen het filesysteem en de systemcalls gevirtualiseerd. Geheugen en cpu worden gewoon gedeeld met de rest van de computer, zoals dat bij alle normale processen gebeurt. Dit systeem werkt dus alleen op Linux.

[h2o]

Is het niet net zo makkelijk om firefox/iceweasel, thunderbird/icedove, chrome/chromium gewoon in een virtuele machine te draaien en dan alleen een gemeenschappelijke download map aan te maken?
Ik heb wel eens ergens gelezen dat je een virtuele machine kunt draaien en dan via ssh dat ding aan kunt roepen en dan de browser e.d. te draaien op afstand. Dan draai je eigenlijk ook in een zandbak en heb je minder kans dat je door een verkeerde instelling het een en ander in de soep laat draaien..... 

[MKe]

Een virtual machine is absoluut niet net zo gemakkelijk. Ten eerste moet je een virtrual machine volledig installeren. Het betkent dat je een volledige besturingssysteem inclusief alle hardware gaat virtualiseren. Dat is een gigantische overhead. Verder moet je die virtual machine onderhouden alsof het een aparte PC is, het heeft zijn eigen kernel, dus die moet je apart updaten, enz. Je moet dan ook hardware toewijzen, je os in de vm zal iig zelf al een halve GB aan ram gebruiken, cores in beslag nemen etc. De overhead zal de prestaties niet ten goede komen. Al met al haal je jezelf overbodig veel onderhoud op de hals. VM's zijn ook niet bedoeld als sandbox, het is bedoeld om systemen te virtualiseren. Om als sandbox te dienen is een vm een enorme overkill en niet erg flexibel.
Dit is een veel betere en simpeler oplossing. FireJail zal geen hardware provisioning doen, waardoor de overhead te verwaarlozen is. Het maakt gebruik van de kernel van de host, waardoor je niet twee systemen hoeft te onderhouden. Het is minstens net zo veilig als een een vitual machine. En de communicatie met de computer zelf is veel eenvoudiger.
Het grote voordeel van FireJail t.o.v. een virtual machine is dat het eigelijk gewoon een process in je systeem is, zoals elke andere, maar dan wel veiliger.

[Pjotr]

Ik ben er zelf nog niet zo lang mee bezig..... Het grootste nadeel wat ik tot nog toe heb ervaren, is dat je in Firefox alleen bij bestanden kunt die in de map Downloads staan. Maar ja, dat is natuurlijk ook  juist de bedoeling.   

Het grote voordeel is de aanzienlijke verhoging van de veiligheid, die vooral van belang is voor Firefox. Want Chrome en Chromium zijn sowieso al beter beschermd. Terwijl het weinig extra systeemkracht lijkt te kosten, wat je natuurlijk niet kunt zeggen van VirtualBox.

[MKe]

Het wel degelijk nuttig voor Chrome en Chromium, aangezien de zandbak van Chrome zich niet afsluit van het filesysteem. Met FireJail ben je dus een stuk veiliger.
Het is echt een goede tip en het lijkt op het eerste gezicht heel veel op docker. Docker is natuurlijk meer bedoeld voor het sandboxen van services en dus veel uitgebreider.

[testcees]

Overigens, voor de andere gebruikers: firejail maakt gebruik van een specifieke virtualisatie techniek van de Linux kernel.

Ah bedankt, dit gaat dus over firejail. Dat las ik niet in de aankondiging. 

Firejail (0.9.28-1) zit in de Ubuntu pakketbron van Ubuntu 15.10:

Code: [Selecteer]

sudo apt-get install firejail

De nieuwe versie (0.9.38-1) zit al in Ubuntu 16.04 LTS (ontwikkelversie) en sinds eergisteren(!) is er ook een PPA van 0.9.38-1 voor 15.10.
Zie ook https://firejail.wordpress.com/

[Frederik]

Het verbaast me eigenlijk een beetje, dat er geen reacties komen op deze tip.... 

Ik ben helemaal niet bang voor profielkapingen en inbraken in mijn gebruikersmap en derhalve geen enkele behoefte om te gaan spelen in een zandbak.
Maar voor mensen die met angst en beven het internet opgaan: vooral doen.

[maasnet]

Het verbaast me eigenlijk een beetje, dat er geen reacties komen op deze tip.... 

Ik ben helemaal niet bang voor profielkapingen en inbraken in mijn gebruikersmap en derhalve geen enkele behoefte om te gaan spelen in een zandbak.
Maar voor mensen die met angst en beven het internet opgaan: vooral doen.

+1

[Pjotr]

Het verbaast me eigenlijk een beetje, dat er geen reacties komen op deze tip.... 

Ik ben helemaal niet bang voor profielkapingen en inbraken in mijn gebruikersmap en derhalve geen enkele behoefte om te gaan spelen in een zandbak.
Maar voor mensen die met angst en beven het internet opgaan: vooral doen.

Angst en beven, toe maar..... 

Argumenten zijn overtuigender dan grappige zandbak-analogieën, hoor.

Enfin, iedereen moet natuurlijk vooral doen wat-ie zelf 't beste vindt. Vrijheid blijheid. Maar in dit draadje zijn vooral *feitelijk goed beargumenteerde* meningen nuttig.

[MKe]

Tja, dat is jullie zaak. Een van de grote problemen van dit moment is dat gebruikers zich maar weinig bewust zijn van veiligheid.
Ik zie hier veel mensen schrijven dat ze zich geen zorgen maken over veiligheid omdat ze Linux gebruiken. Dan is het natuurlijk wel verstandig om ook gebruik te maken van de veiligheids tools die Linux bied, anders heeft het niet veel nut. Dingen als randsom ware bestaat echt en ik ken verschillende slachtoffers.

[partyrabbit]

Dingen als randsom ware bestaat echt en ik ken verschillende slachtoffers.

Op linux?
Ik ken er ook wat. Maar die waren allemaal op win. En gaven ook zelf toe dat ze ergens op geklikt hadden.

Ik bedoel het zeker niet oneerbiedig naar je Pjotr, dat weet je wel denk ik, maar ik ben toch ook nog niet 'bang' geworden en voel me nog niet geroepen mijn pc in te gaan graven. Maar ik volg dit zeker wel met grote interesse.

Zijn er argumenten om 'bang' te zijn? Zijn er linux bakken gekaapt? En zo ja hoe, want klikten ze zelf te veel op blote vrouwen of een angstbericht met 'scan nu je pc, klik hier'? Of kwam een kaaphacker onaangekondigd en uit zichzelf plots binnen lopen?

(Ook hier in dit topic relevant. ik heb 1 flashplayer 'aanval' gehad en die was zo ontweken omdat er om een authentificatie-wachtwoord gevraagd werd en niet gegeven is, dus veilig genoeg. En toen had ik nog niet eens NoScript draaien die nu wel heel veel blockt.)

[jvecht]

Hoi Pjotr,

Ik voel er wel wat voor. Als je er weer vanaf wil, is dat dan een kwestie van firejail netjes verwijderen en de link naar Firefox herstellen?

groet,

Just

[Pjotr]

Ik voel er wel wat voor. Als je er weer vanaf wil, is dat dan een kwestie van firejail netjes verwijderen en de link naar Firefox herstellen?

Ja, zo eenvoudig is het. 

[Pjotr]

@partyrabbit: voorbeelden van geslaagde inbraken in Linux via een normaal bijgewerkte standaard-Firefox, ken ik niet.

Wel weet ik, dat bijvoorbeeld Adobe Flash Player in Firefox niet "gezandbakt" is, zoals dat wel het geval is in Chrome. En Flash Player wordt veel aangevallen, dat is een bekend feit.

Uiteraard krijgen we er veiligheids-updates voor, maar de vraag is of Adobe die snel genoeg uitrolt. Het is gesloten-bron-programmatuur, dus je bent wat dat betreft geheel afhankelijk van Adobe.

Als je Firefox gezandbakt draait via Firejail, dan beperk je gelijk de schade die een inbraak via Adobe Flash Player kan aanrichten.

Laat ik de vraag eens omdraaien: waarom zou je Firejail *niet* gaan gebruiken voor Firefox? De prijs is immers laag (weinig extra systeemkracht nodig, slechts een kleine vermindering van gebruiksgemak), terwijl de veiligheidswinst groot is.

Je geeft zelf aan dat je NoScript gebruikt, die heel wat meer vermindering van gebruiksgemak veroorzaakt..... En toch vind je 'm nuttig genoeg om die prijs te betalen.

[Johan van Dijk]

Dit klinkt wel interessant. Momenteel heb ik Firefox  beveiligd via een aangepast AppArmor-profiel. Maar dit is een hoop gepriegel om in orde te krijgen. Het profiel dat in Ubuntu zit beschermt je bijv. niet tegen het stelen van je SSH keys. En als je het teveel dichttimmert dan werken essentiële dingen niet meer. Echt gebruiksvriendelijk is het dus niet.

De bescherming van Firejail lijkt me een stuk makkelijker om in te stellen maar heeft dan weer als nadeel dat de complete container verwijderd wordt als je Firefox afsluit. Het opslaan van bookmarks of andere gegevens gaat dus niet als ik het goed begrijp. Ook niet echt gebruiksvriendelijk.

[Pjotr]

@Johan: bladwijzers blijven bewaard, want die vallen onder de "whitelist". Dit is het standaardprofiel wat Firejail heeft voor Firefox:

Code: [Selecteer]

# Firejail profile for Mozilla Firefox (Iceweasel in Debian)
noblacklist ${HOME}/.mozilla
include /etc/firejail/disable-mgmt.inc
include /etc/firejail/disable-secret.inc
include /etc/firejail/disable-common.inc
include /etc/firejail/disable-devel.inc
caps.drop all
seccomp
protocol unix,inet,inet6,netlink
netfilter
tracelog
noroot
whitelist ${DOWNLOADS}
whitelist ~/.mozilla
whitelist ~/.cache/mozilla/firefox
whitelist ~/dwhelper
whitelist ~/.zotero
whitelist ~/.lastpass
whitelist ~/.vimperatorrc
whitelist ~/.vimperator
whitelist ~/.pentadactylrc
whitelist ~/.pentadactyl
whitelist ~/.keysnail.js
whitelist ~/.config/gnome-mplayer
whitelist ~/.cache/gnome-mplayer/plugin
include /etc/firejail/whitelist-common.inc

# experimental features
#private-etc passwd,group,hostname,hosts,localtime,nsswitch.conf,resolv.conf,gtk-2.0,pango,fonts,iceweasel,firefox,adobe,mime.types,mailcap,asound.conf,pulse
Als je je profiel optimaal wil beschermen tegen kaping, dan zou je dus de "whitelist"-regel voor ~/.mozilla kunnen uitcommentariëren. Dat betekent natuurlijk wel een merkbare vermindering in gebruiksgemak.

Gooi dan wel eerst een kopie van het profiel in je gebruikersmap:

Code: [Selecteer]

cp -v /etc/firejail/firefox.profile ~/.config/firejailDan kun je die bewerken, en dan weet je zeker dat je instellingen een update van Firejail overleven.

[Johan van Dijk]

Dan moet ik nog maar even verder lezen hoe het precies werkt
Ik zag al een --private optie om alles te verwijderen bij afsluiten, dus de whitelist aanpassen hoeft niet. En bij normaal gebruik wil je dat ook niet, want dat is helemaal niet handig.

Toch maar even uitproberen dan, om te zien wat er wel en niet afgeschermd wordt en wat er verwijderd wordt. Het lijkt in ieder geval een stuk makkelijker in gebruik dan AppArmor of containers.

[Pjotr]

Dan moet ik nog maar even verder lezen hoe het precies werkt

Op het Engelstalige Linux Mintforum staat een uitstekende, behoorlijk diepgravende handleiding: http://forums.linuxmint.com/viewtopic.php?f=42&t=202735

Een aanrader, als je er dieper in wil duiken.

Het aardige aan Firejail is, dat je 'm ook eenvoudig kunt gebruiken als je geen zin hebt om je erin te verdiepen. Want de standaardinstellingen zijn redelijk en nauwelijks hinderlijk.

Maar als je je er wel in wil verdiepen, dan is 't ding enorm aanpasbaar. Voor elck wat wils. 

[MKe]

Ik ken wel degelijk gevallen van random ware op linux. Laatst nog bij iemand die ik ondrrsteun en bodhi draaide. We weten niet hoe het erop gekomen is. Als het om de home gaat lijkt het helemaal niet zo moeilijk om uitvoerbare scripts te maken.
Goed iedereen moet het zelf weten.