Tip: draai je webbrowser en Flash Player in een veilige zandbak

[McVries]

eerste inhoudelijke vraag (effe geen linux bij de hand), kun je er ook andere apps mee isoleren?

[Pjotr]

eerste inhoudelijke vraag (effe geen linux bij de hand), kun je er ook andere apps mee isoleren?

Jazeker! In /etc/firejail staan er al een hoop profielen voor veelgebruikte toepassingen.

Als er geen specifiek profiel aanwezig is voor een bepaalde toepassing, dan draait-ie met 't standaardprofiel (generic). Dat kan natuurlijk "wringen", want het is niet toegesneden op zo'n toepassing.

Ik raad dus ook aan, om Firejail alleen te gebruiken wanneer er een specifiek profiel aanwezig is voor de toepassing die je in de zandbak wil gaan draaien. Voorzichtigheidshalve zou ik trouwens sowieso alleen die toepassingen "zandbakken" die het meest aan gevaar blootstaan.

[McVries]

top! Thanks.

[Henkp]

Mogelijk wat geruststelling, met onderstaande link, waar FireJail ook in vermeld wordt.

https://wiki.installgentoo.com/index.php/List_of_recommended_GNU/Linux_software

Firejail is 100% free, you don’t have to pay anything. We publish the program under GPL v2 license. You are in control of the software, and you are in control of your data.

[vanadium]

Hier vinden ze firejail ook leuk (en dat is het ook), maar wordt de echte noodzaak toch ook wat in vraag gesteld (afweging voorzorgsmaatregelen versus risico).

@partyrabbit, moge je dat tot troost zijn. Ik installeer dit vooralsnog ook niet.

Anderzijds is het inderdaad zeer "licht" en ... baat het niet, het schaadt ook niet.

[partyrabbit]

Mijn laatste reactie in dit topic.
@pjotr. Jij hebt een pb met wat meer duidelijkheid.

@partyrabbit, moge je dat tot troost zijn. Ik installeer dit vooralsnog ook niet.

Daar ging of gaat het me helemaal niet om. Ik zie de werking en voordelen van firejail, en dat heb ik doorlopend aangegeven.
Ik zocht antwoorden in hoeverre firejail noodzaak is of dat andere manieren ook voldoende kunnen zijn. Of hoe ik (bijvoorbeeld mijn) beveiliging genoeg begrijp.
Ik vind het spijtig dat mijn bedoelingen vertroebeld zijn doordat meermalen mijn woorden verdraaid zijn en door de irrelevante antwoorden op die verdraaide woorden. Alleen had ik dat meer langs me heen moeten laten gaan. Een les voor een volgende keer. Excuses daarvoor.

[Pjotr]

Hier vinden ze firejail ook leuk (en dat is het ook), maar wordt de echte noodzaak toch ook wat in vraag gesteld (afweging voorzorgsmaatregelen versus risico).

Dat artikel ken ik.... Maar het gaat voorbij aan dingen als Flash Player in Firefox (die daarin niet is "gezandbakt" zoals in Chrome wel het geval is) en Java.

Anderzijds is het inderdaad zeer "licht" en ... baat het niet, het schaadt ook niet.

Zeer zeker. 

[MKe]

@partyrabbit: ik ben niet uit op ruzie..... Ik begrijp dat de emoties door deze discussie hoog kunnen oplopen; dat is helaas een beperking die eigen is aan schriftelijke communicatie.

Waar ik me ook schuldig aan maak en daarvoor mijn excuses. Ook aan partyrabbit. Het is niet mijn bedoeling hem als dom af te schilderen, sorry als dat zo overkwam.

Ot
Firejail werk ook uitstekend met Thunderbird heb ik inmiddels getest. Voor het geval je geen webmail gebruikt.

[partyrabbit]

Waar ik me ook schuldig aan maak en daarvoor mijn excuses. Ook aan partyrabbit. Het is niet mijn bedoeling hem als dom af te schilderen, sorry als dat zo overkwam.

Bedankt! Moest ik uit respect nog even reageren.

Heb ik alleen nog steeds niets opgestoken over die veiligheidsaspecten, maar daar open ik over een tijdje zelf nog wel een vraag over.
Ik ben weer stil.

[Theo1971]

Geheel on-topic, bedankt voor deze waardevolle tip Pjotr.
Linux is veilig, maar alles kan kapot.
Wanneer je met tips zoals deze narigheid kunt voorkomen, is het denk ik een opsteker

[Henkp]

Het mooie ven Firejail is dat het ook met Thunderbird overweg kan, zodat je het daar ook voor kunt gebruiken.
Maak er even een snelstarter van, met in de command: firejail thunderbird %u

En hier onder zie je mijn uitvoer en het bewijs dat het daar ook werkt.

henk1@henk1-MS-7592 ~ $ firejail --tree
12498:henk1:firejail thunderbird
  12500:henk1:firejail thunderbird
    12501:henk1:/usr/lib/thunderbird/thunderbird

henk1@henk1-MS-7592 ~ $

[Theo1971]

Dit zal ik hier ook nog even doen Bedankt Henk (van een mede thunderbird gebruiker)

Ik heb overigens de hele discussie nog eens teruggelezen.
Persoonlijk vind ik het heel erg jammer dat er zo gereageerd is.
Een tik of klikfoutje is snel gemaakt en voor je het weet heb je narigheid op je computer, dat je minder risico loopt met een linuxdistributie is een open deur intrappen.
Pjotr voorziet ons al jaren van tips en in mijn beleving bekijkt hij alles eerst goed voordat hij dit doorgeeft of op zijn eigen site zet.
Natuurlijk hoef je er niks mee te doen, maar persoonlijk zou ik niet twijfelen aan zijn expertise.

Er is hier iemand op het forum die als slogan gebruikt 'Niets is veilig, zorg voor zoveel mogelijk niets', dat is natuurlijk een prima oplossing.  Maar ik geloof dat het grootst aantal mensen hier nu niet met lynx, links, gopher en mutt werken Ik heb vandaag (geheel tegen mijn principes in) een windows installatie voor een kennis gedaan. Wat ik daar weer voor noodgrepen heb moeten toepassen om het vooral veilig te maken staat in geen verhouding met dit programmaatje.

[loti]

Wanneer ik firejail toepas in Thunderbird kan ik wel alle  bestanden benaderen in mijn gebruikersmap, dit in tegenstelling tot Firefox. Dit is toch niet de bedoeling, of doe ik iets verkeerd?

[MKe]

Kun je ook overal opslaan of alleen lezen?

[loti]

Ik kan een willekeurige bijlage uit mijn gebruikersmap  zowel opslaan als verzenden.

[Pjotr]

Je kunt het Firejailprofiel van Thunderbird nakijken in /etc/firejail. Daarin is /home op "noblacklist" gezet:

Code: [Selecteer]

# Firejail profile for Mozilla Thunderbird (Icedove in Debian)
noblacklist ${HOME}/.gnupg
include /etc/firejail/disable-mgmt.inc
include /etc/firejail/disable-secret.inc
include /etc/firejail/disable-devel.inc

# Users have thunderbird set to open a browser by clicking a link in an email
# We are not allowed to blacklist browser-specific directories
#include /etc/firejail/disable-common.inc thunderbird icedove
blacklist ${HOME}/.adobe
blacklist ${HOME}/.macromedia
blacklist ${HOME}/.filezilla
blacklist ${HOME}/.config/filezilla
blacklist ${HOME}/.purple
blacklist ${HOME}/.config/psi+
blacklist ${HOME}/.remmina
blacklist ${HOME}/.tconn


caps.drop all
seccomp
protocol unix,inet,inet6
netfilter
tracelog
norootDe reden is mij onbekend; misschien omdat het anders te lastig is als je bestanden wil voegen bij een e-mail? Maar ja, wat is dan nog de bescherming die Firejail biedt voor Thunderbird.....

Je kunt dat profiel trouwens kopiëren naar het submapje ~/.config/firejail in je gebruikersmap (dat submapje moet je eerst zelf aanmaken) en daarin de instellingen wijzigen.

Instructie (vervang "google-chrome-stable" door "thunderbird"): https://sites.google.com/site/computertip/zandbak#TOC-Instellingen-voor-Chrome-bekijken-en-wijzigen-voor-gevorderden-
(punt 7, rechterkolom)

[JohnP]

Zou dit ook handig kunnen zijn voor skype? Voor het versturen en ontvangen van bestanden zou dit wel veiliger zijn, maar beschermt het ook tegen het eventueel opnemen of afluisteren van een webcam gesprek?

[Henkp]

@JohnP,

Wat je vragen betreft daar kan ik nog geen antwoord op geven. Dat zou ik ook graag weten.
Maar ik heb hem nu wel draaiend.

henk1@henk1-MS-7592 ~ $ firejail --tree
2281:henk1:firejail firefox
  2283:henk1:firejail firefox
    2284:henk1:/usr/lib/firefox/firefox
      2367:henk1:/usr/lib/firefox/plugin-container /usr/lib/flashplugin-installer/libflashplayer.so -greomni /usr/lib/f
5381:henk1:firejail vlc
  5383:henk1:firejail vlc
    5384:henk1:vlc
9287:henk1:firejail skype
  9288:henk1:firejail skype
    9289:henk1:skype

[partyrabbit]

Ik heb overigens de hele discussie nog eens teruggelezen.
(...)
Pjotr voorziet ons al jaren van tips en in mijn beleving bekijkt hij alles eerst goed voordat hij dit doorgeeft of op zijn eigen site zet.
Natuurlijk hoef je er niks mee te doen, maar persoonlijk zou ik niet twijfelen aan zijn expertise.

Ik hoop niet dat je hiermee op mij doelt want heb ik ergens Pjotr zijn expertise (of firejail) in twijfel getrokken? Als dat wel het geval blijkt zal ik daarvoor direct mijn excusses aanbieden en die tekst aanpassen.
Of zijn toch iets te veel de verdraaide woorden teruggelezen?

[vanadium]

Het was een heftige en intense discussie, maar persoonlijk vind ik dat niemand echt over de schreef is gegaan. Maak je niet teveel zorgen, partyrabbit. Je input wordt sterk geapprecieerd.

De meerwaarde van firejail lijkt mij te liggen in het blokkeren van mogelijke malware binnen de zandbak, opgelegd door firejail. Ik vermoed dat de kans dat via skype of een ander programma waar niet met plugins van derden gewerkt wordt, malware meekomt bijzonder klein wordt.

Firejail beschermt niet tegen versturen of ontvangen van bestanden. Jij bent immers diegene die de bestanden opent. Firejail beschermt alleen tegen malware die zonder dat jij het kan weten, lelijke dingen met je bestanden probeert te doen. De malware kan ongehinderd zijn werk doen maar ... kan nergens bij.

Firejail beschermt ook helemaal niet tegen opnemen of afluisteren. De communicatie met internet gaat namelijk ongehinderd door.

[Pjotr]

Firejail beschermt alleen tegen malware die zonder dat jij het kan weten, lelijke dingen met je bestanden probeert te doen. De malware kan ongehinderd zijn werk doen maar ... kan nergens bij.

Een mooie zin..... Met jouw permissie verwerk ik die, in aangepaste vorm, in m'n handleiding. 

[Henkp]

Firejail beschermt alleen tegen malware die zonder dat jij het kan weten, lelijke dingen met je bestanden probeert te doen. De malware kan ongehinderd zijn werk doen maar ... kan nergens bij.

Een mooie zin..... Met jouw permissie verwerk ik die, in aangepaste vorm, in m'n handleiding. 

Haha, die is goed! Tja omdat Firejail er voor zorgt dat het niets in je Home weg kan schrijven. 

[Henkp]

Nog een leuke terminal opdracht voor Firejail,

Code: [Selecteer]

firejail --top

[Pjotr]

Nog een leuke terminal opdracht voor Firejail,

Code: [Selecteer]

firejail --top

Dat is een handige tip! Zo kun je makkelijk nakijken hoeveel extra systeemkracht Firejail kost t.o.v. een normaal opgestarte toepassing.

Mijn bevinding tot op heden: eigenlijk niet aantoonbaar meer. Nogal tot mijn verbazing, want het is en blijft natuurlijk een extra laag van complexiteit.

[Henkp]

Nog een leuke terminal opdracht voor Firejail,

Code: [Selecteer]

firejail --top

Dat is een handige tip! Zo kun je makkelijk nakijken hoeveel extra systeemkracht Firejail kost t.o.v. een normaal opgestarte toepassing.

Mijn bevinding tot op heden: eigenlijk niet aantoonbaar meer. Nogal tot mijn verbazing, want het is en blijft natuurlijk een extra laag van complexiteit.

Met mijn Pc met Cinnamon 64-Bit en 4Gb internegeheugen (Ram) Merk ik ook totaal geen verschil !