Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Configuratie Firejail  (gelezen 311 keer)

Offline rietje

  • Lid
  • Steunpunt: Nee
Configuratie Firejail
« Gepost op: 2017/12/03, 13:49:29 »
Ik wil in de profiles van Firejail zodanige aanpassing maken dat alleen email met bijlagen in de zandbak terechtkomen. Is dat mogelijk?
Zo niet , is het dan mogelijk om bij verzending van mail de bijlagen altijd via de zandbak te moeten laten lopen?
M.a.w. ik zoek naar vereenvoudiging van het gebruik van Firejail en alleen deze te gebruiken voor de allernoodzakelijkste dingen.
Ik neem aan dat er heel wat aanpassingen in de profiles te maken zijn m.b.v.Gedit.
Ik ben een absolute leek op dit gebied en wil leren er mee om te gaan.

Zie in de bijlage mijn huidige firefox profile.

Offline emvedeesje

  • Lid
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #1 Gepost op: 2017/12/10, 10:03:31 »
Dag Rietje,

Eerst even uitleggen hoe mijn manier van werken is:
- ik gebruik Mint 18.3 en Ubuntu 16.04.3 met daarin chromium, altijd via FireJail.
- e-mails lopen via gmail, dus eveneens via de chromium-browser.

Zelf heb ik me nog niet bezig gehouden met toevoegingen in de blacklists enz. in de profiles.

Waar ik me wel heb op toegespitst is het beveiligen van alle partities.

Je las waarschijnlijk: https://sites.google.com/site/computertip/zandbak
Onder punt 7 lees je hoe je een starter aanmaakt. Dat heb ik hier ook gedaan.
Doch je vindt nog meer uitleg via de terminal:
man firejail
Standaard kan enkel in de mappen /home/USER/Downloads en /tmp  geschreven worden.
Al de rest op het systeemvolume staat READ-ONLY.
MAAR, de andere volumes zijn nog niet beschermd, daarvoor moet een optie meegegeven worden, naargelang de gebruikte browser:

firejail "--blacklist=/media/" google-chrome-stable %U
firejail "--blacklist=/media/" chromium-browser %U
firejail "--blacklist=/media/" firefox %U


Alle volumes welke gekoppeld zijn of worden, zijn nu beschermd !!!

Vanaf nu zijn enkel nog de mappen /home/USER/Downloads en /tmp  beschikbaar voor lezen+schrijven.
Dat wil dus ook zeggen: als ik een bestand wil meesturen in een e-mail, dat bestand in de map Downloads moet staan.
Er is dus natuurlijk een extra stap: het bestand eerst kopiëren naar de map Downloads.

Je kan dus niet zomaar een verkeerd bestand meesturen, want je moet bewust dat bestand eerst in de map Downloads zetten en vervolgens het gaan ophalen uit de map Downloads.
Wat een extra controlestap is.

Misschien is dit een oplossing voor jou ?

groeten van Michael
Mint Cinnamon fan
Desktop HP ProDesk 400G3 64bit I5 16gb multiboot: SSD Mint 18.3 Cinnamon Sylvia + SSD Ubuntu 16.04.3 + HD Ubuntu 16.04.3 + HD W10 /// Laptop HP ProBook 6570b 64bit I5 4gb SSD multiboot Mint 18.3 Cinnamon Sylvia + W10
TESTBAK Desktop HP-Compaq 8000 64bit 4gb

Online Tom

  • Lid
    • Wanda´s Blog Linux Xubuntu. ♥
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #2 Gepost op: 2017/12/10, 13:06:25 »
emvedeesje is dit dan goed zo ?. zie bijlage.
2 x Xuby 14.04.5 Lts 64 bits stand alone. 2 x Xuby 16.04.4 Lts 64 bits stand alone. ♥
https://sites.google.com/site/wandabloglinuxxubuntu/pc-s-installeren-configureren

Offline HWE64

  • Lid
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #3 Gepost op: 2017/12/10, 13:26:26 »
@emvedeesje, dat is volgens mij toch alleen van toepassing als je ook e-mail verstuurd en ontvangt via de browser. Ik heb Firejail ook nog in TB zitten en daardoor kan ik alleen maar in de map Downloads komen. Toch????
Niet panikeren, er is een Ubuntuforum.

Desktop pentium 4, 4GB, dualboot Xubuntu 16.04 LTS /W10 .  Laptop Toshiba Satallite C855 I5, 8GB, Xubuntu 16.04 LTS . Desktop HP Compaq DC5750 AMD64, AMD Athlon X64 X2  2,1GHz RAM 3GB HDD 80GB, Test PC, Xubuntu 16.04 LTS/Linux Mint 18.3 Xfce (beginneling)

Online Tom

  • Lid
    • Wanda´s Blog Linux Xubuntu. ♥
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #4 Gepost op: 2017/12/10, 13:34:44 »
Nu ja ik gebruik Chrome en Google G Mail .
2 x Xuby 14.04.5 Lts 64 bits stand alone. 2 x Xuby 16.04.4 Lts 64 bits stand alone. ♥
https://sites.google.com/site/wandabloglinuxxubuntu/pc-s-installeren-configureren

Offline emvedeesje

  • Lid
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #5 Gepost op: 2017/12/10, 15:13:20 »
emvedeesje is dit dan goed zo ?. zie bijlage.

Inderdaad Tom, volgens mij is dat oke.
Je kon het overnemen uit mijn gepost antwoord.

Groeten van Michael
Mint Cinnamon fan
Desktop HP ProDesk 400G3 64bit I5 16gb multiboot: SSD Mint 18.3 Cinnamon Sylvia + SSD Ubuntu 16.04.3 + HD Ubuntu 16.04.3 + HD W10 /// Laptop HP ProBook 6570b 64bit I5 4gb SSD multiboot Mint 18.3 Cinnamon Sylvia + W10
TESTBAK Desktop HP-Compaq 8000 64bit 4gb

Offline emvedeesje

  • Lid
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #6 Gepost op: 2017/12/10, 15:18:12 »
@emvedeesje, dat is volgens mij toch alleen van toepassing als je ook e-mail verstuurd en ontvangt via de browser. Ik heb Firejail ook nog in TB zitten en daardoor kan ik alleen maar in de map Downloads komen. Toch????

Zoals ik vermeldde: ik gebruik chromium met daarin gmail.

Kijk daarnaast ook eens naar mijn systeem om andere gemounte partities af te schermen..

Groeten van Michael
Mint Cinnamon fan
Desktop HP ProDesk 400G3 64bit I5 16gb multiboot: SSD Mint 18.3 Cinnamon Sylvia + SSD Ubuntu 16.04.3 + HD Ubuntu 16.04.3 + HD W10 /// Laptop HP ProBook 6570b 64bit I5 4gb SSD multiboot Mint 18.3 Cinnamon Sylvia + W10
TESTBAK Desktop HP-Compaq 8000 64bit 4gb

Offline rietje

  • Lid
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #7 Gepost op: 2017/12/18, 14:21:36 »
Dus heel eenvoudig gesteld: Als in een commando het woord "blacklist" voorkomt loopt dit programma of item via firejail.
Komt het woord "whitelist" erin voor dan loopt dit item altijd onbeschermd binnen.
Kan dit zo gesteld worden ?
Groet.

Offline emvedeesje

  • Lid
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #8 Gepost op: 2017/12/19, 09:00:13 »
Dus heel eenvoudig gesteld: Als in een commando het woord "blacklist" voorkomt loopt dit programma of item via firejail.
Komt het woord "whitelist" erin voor dan loopt dit item altijd onbeschermd binnen.
Kan dit zo gesteld worden ?
Groet.
Rietje, geef in de terminal eens het command:
man firejailDaar zie je o.a.:
--blacklist=dirname_or_filename
              Blacklist directory or file.

              Example:
              $ firejail --blacklist=/sbin --blacklist=/usr/sbin
              $ firejail --blacklist=~/.mozilla
              $ firejail "--blacklist=/home/username/My Virtual Machines"

--whitelist=dirname_or_filename
              Whitelist  directory  or  file. This feature is implemented only
              for user home, /dev, /media, /opt, /var, and  /tmp  directories.
              When whitlisting symbolic links, both the link and the real file
              should be in the same top directory  (home  user,  /media,  /var
              etc.)

              Example:
              $ firejail --whitelist=~/.mozilla --whitelist=~/Downloads
              $ firejail --whitelist=/tmp/.X11-unix --whitelist=/dev/null
              $ firejail "--whitelist=/home/username/My Virtual Machines"

groeten van Michael
Mint Cinnamon fan
Desktop HP ProDesk 400G3 64bit I5 16gb multiboot: SSD Mint 18.3 Cinnamon Sylvia + SSD Ubuntu 16.04.3 + HD Ubuntu 16.04.3 + HD W10 /// Laptop HP ProBook 6570b 64bit I5 4gb SSD multiboot Mint 18.3 Cinnamon Sylvia + W10
TESTBAK Desktop HP-Compaq 8000 64bit 4gb

Offline rietje

  • Lid
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #9 Gepost op: 2017/12/19, 09:49:19 »
Sorry, emvedeesje, maar het ligt aan mij, maar ik ken al deze terminaltaal niet goed.
Ik zie o.a. blacklist staan met daarachter mozilla en daaronder whitelist met ook mozilla.
Hoe kan ik nu weten welke wat betekent?

Voor complete leken zou men deze taal eens (liefst met voorbeelden) moeten uitleggen.
Ik heb me suf gezocht op het internet, maar overal moeilijke uitdrukkingen.
Zoals gezegd: het ligt aan mijn beperkte kenneis.
M.vr.gr. 

Offline emvedeesje

  • Lid
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #10 Gepost op: 2017/12/19, 16:33:53 »
@Rietje

Blacklist = de zwarte lijst = waar je geen toegang op wil
Whitelist = de witte lijst = waar je wél toegang toelaat

Lees a.u.b. nog even mijn reactie #1
Hierin leg ik uit dat ik met Chromium werk, met daarin mijn e-mais via gmail.
Als jij op dezelfde manier werkt (maar dat verklapte je nog niet) is dat dé oplossing.

In je browser kan je de standaard downloadplaats instellen, neem daar zeker /home/xxxxx/Downloads
Want deze map Downloads, samen met /tmp zijn de enige mappen welke firejail toelaat om in te schrijven.
Zowel iets dat je gewoon downloadt, als een aanhangsel van een e-mail dat binnenkomt, komt daarin terecht.

Als je verder niets aangeeft, zijn andere "mounted" volumes NIET beschermd. Zowel om te lezen of te schrijven.
Doch door in de eigenschappen van de starter van Chromium volgende regel te zetten:
firejail "--blacklist=/media/" chromium-browser %U...staan alle momenteel gekoppelde volumes op de zwarte lijst. Zowel om te lezen of te schrijven.
...waardoor, als je een bestand wil meesturen met een e-mail, noodgedwongen eerst dat bestand naar de map Downloads moet kopiëren, want enkel de map Downloads is toegankelijk op dat moment.

Hopelijk is deze uitleg iets duidelijker ?

groeten van Michael
Mint Cinnamon fan
Desktop HP ProDesk 400G3 64bit I5 16gb multiboot: SSD Mint 18.3 Cinnamon Sylvia + SSD Ubuntu 16.04.3 + HD Ubuntu 16.04.3 + HD W10 /// Laptop HP ProBook 6570b 64bit I5 4gb SSD multiboot Mint 18.3 Cinnamon Sylvia + W10
TESTBAK Desktop HP-Compaq 8000 64bit 4gb

Offline rietje

  • Lid
  • Steunpunt: Nee
Re: Configuratie Firejail
« Reactie #11 Gepost op: 2017/12/21, 10:29:09 »
Bedankt Michael,
prettige feestdagen gewenst.
Groet.