Thunderbird absichern

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
sergej2018
Beiträge: 112
Registriert: 19.09.2017 21:35:18

Thunderbird absichern

Beitrag von sergej2018 » 11.03.2019 19:43:52

Hallo zusammen,

mir geht's darum, wie man TB am sichersten nutzen kann.
Klar: Nicht jede Mail einfach öffnen, nicht jeden Anhang einfach ausführen... die Basics sind hoffentlich klar ;-)

Mir fallen zwei Wege ein:

a) TB mit firejail nutzen: Möglich, aber auch umständlich, zB möchte man manchmal ja auch eine Datei an eine Mail anhängen oder einen Anhang speichern.
b) TB in einer VM betreiben: Macht's zumindest etwas einfacher, letztlich ist es aber auch nur dann sicherer, wenn zwischen Hostsystem und TB nicht permanente Verbindung besteht.

Was meint ihr, bzw. wie macht ihr's so?

RobertDebiannutzer
Beiträge: 379
Registriert: 16.06.2017 09:52:36

Re: Thunderbird absichern

Beitrag von RobertDebiannutzer » 12.03.2019 09:06:51

Ich nutze firejail und Tipps von hier: https://www.kuketz-blog.de/empfehlungsecke/#thunderbird
Von den dort angesprochenen Tipps nutze ich im Moment:
1. die user.js des privacy-handbuchs
2. "Plain Text" als Standardansicht für mails
3. das Add-on "Allow HTML Temp"
Standardmäßig (unter stretch) erlaubt firejail den Zugriff auf ~/Downloads.

sergej2018
Beiträge: 112
Registriert: 19.09.2017 21:35:18

Re: Thunderbird absichern

Beitrag von sergej2018 » 12.03.2019 16:05:22

Habe vorhin irgendwo gelesen, TB 60 funktioniere nicht mit firejail.
Ist das wirklich so?
Denn selbst im stable-Zweig ist ja eine 60er-Version.

RobertDebiannutzer
Beiträge: 379
Registriert: 16.06.2017 09:52:36

Re: Thunderbird absichern

Beitrag von RobertDebiannutzer » 12.03.2019 16:24:56

Also bei mir funktioniert es. Ich nutze allerdings auch Debianfirejail aus stretch-backports (hatte ich vergessen zu erwähnen). Also Version "0.9.58.2-1~bpo9+1". Ob es mit der firejail-Version aus dem normalen stretch-repository funktioniert (also Version "0.9.44.8-2"), weiß ich nicht.

sergej2018
Beiträge: 112
Registriert: 19.09.2017 21:35:18

Re: Thunderbird absichern

Beitrag von sergej2018 » 12.03.2019 17:34:01

Tatsache, es funktioniert bei mir auch ;-)

Nun bleibt - in der Standard-Einstellung - zumindest nur der Downloads-Ordner als Einfallstor für Schadsoftware übrig, korrekt?

RobertDebiannutzer
Beiträge: 379
Registriert: 16.06.2017 09:52:36

Re: Thunderbird absichern

Beitrag von RobertDebiannutzer » 12.03.2019 20:39:16

sergej2018 hat geschrieben: ↑ zum Beitrag ↑
12.03.2019 17:34:01
Nun bleibt - in der Standard-Einstellung - zumindest nur der Downloads-Ordner als Einfallstor für Schadsoftware übrig, korrekt?
Naja, wie man's nimmt.
Schreiben und lesen kann Thunderbird auch in anderen Ordnern. Da musst Du mal die entsprechenden Dateien in /etc/firejail durchsuchen, dann kannst Du genau sehen, welche Ordner das sind. Aber der Profil-Ordner (also ~/.thunderbird) ist es natürlich auf jeden Fall schonmal. Inwieweit das dann für Schadsoftware ausnutzbar ist - keine Ahnung.
Wenn Du möglichst viele Ordner schützen willst, kannst Du das z.B. mit der Option "--overlay-tmpfs" für firejail erreichen. Zitat aus der Manpage von firejail:

Code: Alles auswählen

       --overlay-tmpfs
              Mount a filesystem overlay on top of the current filesystem. All filesystem modifications are discarded when the sandbox is closed. Directories /run, /tmp and /dev are not covered by the over‐
              lay.  If the sandbox is started as a regular user, nonewprivs and a default capabilities filter are enabled.

              OverlayFS support is required in Linux kernel for this option to work.  OverlayFS was officially introduced in Linux kernel version 3.18.  This option is not available on Grsecurity systems.

              Example:
              $ firejail --overlay-tmpfs firefox
Dann kann firejail zwar (alles?) lesen und schreiben, doch die Änderungen werden nach dem Schließen (mit den oben genannten Ausnahmen) verworfen. Es gibt auch noch andere Alternativen, s. z.B. die ganzen --private-* Optionen. Ein "overlay" macht nicht zwingend Spaß, wenn man Einstellungen speichern bzw. vor allem, wenn man mails lokal speichern möchte. Denn die sind dann nach dem Schließen von thunderbird weg. Also Augen auf!

Antworten