Frage zu "Firejail"

[RobertDebiannutzer]

Hallo,

ich bin neu bei Debian und Linux und hätte ein Frage zum Thema "Firejail"
(das ich mir schon installiert habe).
Ich würde mich sehr freuen wenn mir jemand etwas dazu sagen könnte!

Ich versuche mal, mich kurz zu fassen:

Ich habe Firejail installiert und möchte es für Firefox nutzen.
Ich habe es mir so eingerichtet, dass ein Overlay Filesystem genutzt wird,
und zwar so, dass alles, was Firefox auf die Festplatte schreiben will, ver-
worfen wird. Das ist die Option --overlay-tmpfs.
Hat auch bei einem Probe-Download geklappt - also die Datei war nachher
nicht im Download-Ordner, wo sie ansonsten gewesen wäre.
(Außerdem habe ich es hoffentlich mittels --seccomp und --caps.drop=all
hinbekommen, Firefox einige System-Aktionen zu verbieten.)

Was ich aber jetzt gerne wissen würde ist:
So wie das jetzt aussieht, wäre ich ja vollkommen vor Viren, Phishing-Mails,
Ransomware und einfach allem, was bei der Nutzung von Firefox aus dem
Internet kommen könnte, geschützt, weil es ja nicht auf die Festplatte kommt.

Aber ehrlich gesagt, kann ich kaum glauben, dass das so einfach sein soll...
Habe ich da irgendwo einen Denkfehler? Kann z.B. eine Schadsoftware aus
dem Internet an Firejail vorbei direkt in den Arbeitsspeicher gelangen und dann
Schaden anrichten?
Oder gibt es noch weitere Möglichkeiten, die ich mir nur nicht vorstellen kann?

Freundliche Grüße

Robert

[schorsch_76]

Phishing: Nein, du bist nicht sicher. Denn du klickst auf den Link und gibst dort deine PIN/TAN whatever ein.

Es gibt genug exploits die aus Sandboxes ausbrechen können. [1]

Ransomware: Sobald es einen Ausbruch aus der Sandbox gibt, ist auch dein rootfs nicht mehr sicher.

100% Sicherheit gibt es nicht. Auch schützt dich Firejail nur vor Sachen die über FF passieren. WannaCry war ein SMB Exploit ohne User interaction.

[1] https://arstechnica.com/security/2017/0 ... t-pwn2own/

[RobertDebiannutzer]

Vielen Dank für die Antwort.

Phishing: Nein, du bist nicht sicher. Denn du klickst auf den Link und gibst dort deine PIN/TAN whatever ein.

Ja, das ist klar. Das meinte ich nicht, schließlich ist brain.exe (oder wie heißt das bei Linux?) aktiv...
Ich meinte so Schadsoftware aus Anhängen, die man öffnet und dann... Aber gut, das ist sowieso relativ unwahrscheinlich, denn Mails unbekannter Absender öffne ich sowieso nicht und damit in Anhängen bekannter Absender Viren sein könnten, müssten die ja selber erstmal befallen werden...

Es gibt genug exploits die aus Sandboxes ausbrechen können. [...]
100% Sicherheit gibt es nicht. Auch schützt dich Firejail nur vor Sachen die über FF passieren. WannaCry war ein SMB Exploit ohne User interaction.

Gut, mal davon abgesehen, dass Schadsoftware aus der Sandbox ausbrechen kann - immerhin bietet die Sandbox schonmal etwas Schutz. Und wenn die Schadsoftware aus der Sandbox ausbrechen kann, hätte sie mein System wahrscheinlich sowieso befallen, oder?
SMB Exploit bedeutet, dass sie die Schadsoftware über einen Netzwerkdienst Zugang verschafft? Dann könnte ich diese Dienste ja vielleicht auch in eine Sandbox verpacken? Aber vielleicht wäre dann gleich eine VirtualBox oder so ähnlich doch besser?
Nur leider habe ich noch nicht ganz kapiert wie man sowas unter Debian für Firefox praktisch erstellen könnte...

Ransomware: Sobald es einen Ausbruch aus der Sandbox gibt, ist auch dein rootfs nicht mehr sicher.

Du meinst, in dem Fall habe ich mir ein Problem einghandelt, dass ich ohne Sandbox nicht gehabt hätte? Könnte ich das verhindern?

Freundliche Grüße

Robert

[schorsch_76]

WannaCry war ein Problem im Samba Stack von Windows.

EternalBlue exploits a vulnerability in Microsoft's implementation of the Server Message Block (SMB) protocol.[39] This Windows vulnerability was not a zero-day flaw, but one for which Microsoft had released a "critical" advisory, along with a security patch to fix the vulnerability two months before, on 14 March 2017.[40] The patch was to the Server Message Block (SMB) protocol used by Windows,[41][42] and fixed several versions of the Microsoft Windows operating system, including Windows Vista, Windows 7, Windows 8.1, and Windows 10, as well as server and embedded versions such as Windows Server 2008 onwards and Windows Embedded POSReady 2009 respectively, but not the older unsupported Windows XP, Windows Server 2003, and Windows 8 (unsupported because Windows 8.1 is classified as a mandatory service pack upgrade).[40] The day after the WannaCry outbreak Microsoft released updates for these too.[5][26]

Du kannst Anwendungen in Chroot (Jail [2][3] lite) packen. Damit bist du schon mal besser dran als ohne Schutzmechanismus.

Du meinst, in dem Fall habe ich mir ein Problem einghandelt, dass ich ohne Sandbox nicht gehabt hätte? Könnte ich das verhindern?

Nein, das hab ich damit nicht gemeint. Ich will nur sagen, dass du abschotten kannst was du willst, 100% erreichst du nicht. Du kannst nur die Angriffsoberfläche verringern und sichere Software einsetzen.

[1] https://en.wikipedia.org/wiki/WannaCry_ ... are_attack
[2] https://en.wikipedia.org/wiki/FreeBSD_jail
[3] https://en.wikipedia.org/wiki/Chroot

[breakthewall]

(Außerdem habe ich es hoffentlich mittels --seccomp und --caps.drop=all
hinbekommen, Firefox einige System-Aktionen zu verbieten.)

Ich nutze firejail nun schon recht lange, und würde dir sehr nahe legen die fertigen Sandbox-Profile zu nutzen. Denn diese enthalten bereits sehr gut ausgearbeitete Restriktionen, auch für Firefox, was bei Bedarf noch erweitert werden kann.

Was ich aber jetzt gerne wissen würde ist:
So wie das jetzt aussieht, wäre ich ja vollkommen vor Viren, Phishing-Mails,
Ransomware und einfach allem, was bei der Nutzung von Firefox aus dem
Internet kommen könnte, geschützt, weil es ja nicht auf die Festplatte kommt.

Zunächst gibt es kein vollkommen sicher. Zwar nutzt firejail hier ziemlich wirksame Kernel-Technologien, die in aller Regel nur über Kernel-Exploits überwunden werden können, doch letztenendes sind das nur weitere Hürden um Schäden weitestgehend zu unterbinden. Nichts ist perfekt noch völlig immun gegen Sicherheitslücken, weder firejail noch der Linux-Kernel der die Grundlage dafür bildet. Doch davon abgesehen sind diese Techniken natürlich auch wirksam, womit der Browser auch erheblich in seinem Wirkungsgrad eingeschränkt wird. Und das zusätzlich zu dem Umstand ohnehin nur als regulärer Nutzer angemeldet zu sein. Von daher ein großer Gewinn das zu nutzen. Ein Gewinn ist aber ebenso auch ein Adblocker bzw. Scriptblocker im Browser, was wiederum für sich eine weitere Hürde darstellt, damit hier nicht beliebige Inhalte einfach ausgeführt werden. Und diese Kombination aus verschiedenen Sicherheitsschichten, sorgt letztlich für mehr Sicherheit. Bei Bedarf kann man das natürlich auch noch erweitern, bspw. mit SELinux oder AppArmor, um das nochmals sicherheits-technisch auf eine höhere Ebene zu stellen. Und generell ist es ohnehin sinnvoll sein System schon ab der Installation klug aufzubauen, und bspw. in mehrere Volumes aufzuteilen, womit man jedem Systembereich über Mountpoints wie ro, nodev, noexec, nosuid, jeweils einen eigenen Sicherheitskontext geben kann der zusätzlich schützt. Das meiste davon erfordert zudem nur wenig Arbeit, und muss mitunter nur einmal eingerichtet werden.

Aber ehrlich gesagt, kann ich kaum glauben, dass das so einfach sein soll...
Habe ich da irgendwo einen Denkfehler? Kann z.B. eine Schadsoftware aus
dem Internet an Firejail vorbei direkt in den Arbeitsspeicher gelangen und dann
Schaden anrichten?
Oder gibt es noch weitere Möglichkeiten, die ich mir nur nicht vorstellen kann?

Es ist in der Tat so einfach. Zumal firejail explizit so designt wurde, um diese Kernel-Technologien ausserordentlich einfach nutzbar zu machen. Aber wie bereits erwähnt, ist das nur ein Teil eines Sicherheitskonzeptes, wo man dennoch nicht einfach den Kopf abschalten sollte. Ich sag mal, sofern man kein fahrlässiger Nutzer ist der auf alles klickt was sich bewegt, entsprechend aufmerksam agiert und regelmäßig Updates einspielt, dann unterstützt man wiederum die Schutzmaßnahmen und ist recht sicher aufgestellt. Für erweiterte Sicherheit wären ebenfalls auch noch VMs da, und letztlich laufen diese ebenso nur mit Nutzerrechten, und ließen sich zusätzlich auch noch mit firejail isolieren wenn man sich so sicherer fühlt. Und je mehr Schutzschichten etabliert werden, desto weniger wahrscheinlich wird wiederum ein erfolgreicher Angriff. Hinsichtlich deiner Frage, könnte nur etwas an firejail vorbeikommen, was in der Lage ist eine schwere Sicherheitslücke in firejail oder im Linux-Kernel auszunutzen, die entsprechend ausreicht um aus der Sandbox auszubrechen.

[RobertDebiannutzer]

Hallo,

vielen Dank für eure Antworten.

@breakthewall
Ok, ich habe gerade gesehen, dass im Firefox-Sandbox-Profil von firefjail seccomp und caps.drop=all bereits integriert ist.
Dann reicht es, wenn ich nur noch mein overlay-tmpfs hinzufüge...

Adblocker (ublock origin) habe ich schon. Ich weiß aber noch nicht, wie gut das Teil dann im täglichen Gebrauch wirklich ist.

Bezüglich App-Armor: Kann man das denn zusätzlich zu firejail für ein Programm, also z.B. Firefox, laufen lassen?

Kannst Du mit das mit den verschiedenen Volumes nochmal genauer erklären? Kann man das auch nach der Installation
noch machen?

Vielen Dank und
Freundliche Grüße

Robert

[pferdefreund]

ublock origin verwende ich mit palemoon und firefox. Der ist wesentlich flinker wie adblock+ und wie die alle heißen. Zeigt auch schön an, wie viele pro Seite geblockt wurden.

[RobertDebiannutzer]

Hallo,

ich habe ein kleines Problem:

Gestern habe ich /var, /tmp und /home auf eigene Partitionen verschoben. Klappte auch mit Hilfe der Gparted-Live-CD und einer Umzugsanleitung aus der Ubuntu-Wiki sehr gut und rel. einfach.

Aber seitdem kann Firefox leider nicht mehr auf das Internet zugreifen, wenn er über firejail gestartet wird. Starte ich ihn normal, ist es kein Problem. Die Firetools zeigen Firefox auch nicht als Prozess an. Dabei kann ich über ps -e sehen, dass firejail durchaus gestartet ist...

Weiß jemand vielleicht, woran das liegen könnte?

Als zusätzliche Information: Gemäß den Tipps von "lynis" habe ich in /etc/fstab /home die Flags nodev und nosuid verpasst, /tmp die Flags nodev, noexec und nosuid und /var die Flags nosuid.
Außerdem liegt / (50GiB) auf einer primären Partition, während /var (30GiB) /tmp (15GiB) /swap (10GiB) und /home (Rest-GiB) in dieser Reihenfolge als logische Partitionen auf einer erweiterten Partition liegen.

Würde mich freuen, wenn mir jemand weiterhelfen könnte!

Freundliche Grüße

Robert

P.S.: /tmp habe ich so groß gewählt, weil ich manchmal CDs brenne und gelesen habe, dass die Brennprogramme die zu brennenden Datein in /tmp zwischenspeichern. Außerdem habe ich aufgrund großer Festplatte einfach den voraussichtlich notwendigen GiB-Wert für jede Partition verdoppelt - kann ja vielleicht nicht schaden...

[TomL]

Gestern habe ich /var, /tmp und /home auf eigene Partitionen verschoben.

Ja, ist doch klar, dass das nicht mehr funktioniert..... Programme erwarten eben das Vorhandensein dieser Verzeichnisse. Und wenn die nicht mehr da sind, wird vermutlich einiges nicht mehr funktionieren.

[scientific]

Mounten muss man die noch.

[geier22]

Gestern habe ich /var, /tmp und /home auf eigene Partitionen verschoben. Klappte auch mit Hilfe der Gparted-Live-CD und einer Umzugsanleitung aus der Ubuntu-Wiki sehr gut und rel. einfach.

Was soll denn der Praktisch Nährwert dieser Aktionen sein ? /home/ ist ja OK, das sollte man immer machen. Aber die anderen Verzeichnisse ??
Willst du damit mehr Sicherheit erreichen?
Ich halte das für überflüssig, wenn man das / von vornherein groß genug anlegt, was bei heutigen Plattengrößen kein Problem darstellt. Ich hab meine Root- Partition jedenfalls noch nie mehr als zu 50% voll bekommen (i.R. 40 GB)
Den Zugriff von Programmen, die mit Firejail laufen, kannst du wunderbar über die Profildateien in /etc/firejail/ konfigurieren. Dort wirst du sehen, dass du fast jedes Programm unter Firejail laufen lassen kannst.
Aber ein Browser, mit dem ich nichts runter laden kann und keine Webseiten archivieren kann ist für mich ziemlich sinnlos.
Es gibt einen Thread (ich glaube, das ist bisher der einzige) in dem ein Paar Vorschläge dazu gemacht werden:
viewtopic.php?f=29&t=160928&hilit=firej ... 0#p1092710
und hier:
viewtopic.php?f=29&t=160928&hilit=firej ... 5#p1093015

Sicherheitsrelevante Dinge wie.z.B. Banking mache ich grundsätzlich nicht mit einem Browser (egal, wie sehr ich den abschotte) .
Das passiert bei mir seit Jahren in einer VM über ein Banking - Programm / HBCI / Secoder.

Das alles zusammen mit dem Einsatz von Brain.exe reicht aus meiner Sicht vollkommen aus. Professionell Angriffe - solltest du so ein lohnendes Ziel sein - wirst du eh nicht verhindern können.

[scientific]

[Wortklaubmodus] Verhindern wird man Angriffe nie können. Aber erfolgreich abwehren... [/Wortklaubmodus]

[geier22]

[Wortklaubmodus] Verhindern wird man Angriffe nie können. Aber erfolgreich abwehren... [/Wortklaubmodus]

Glaub ich nicht
OK --- man wird sie auch nicht erfolgreich abwehren können.
Edit:
Damit meine ich wirklich professionell Angriffe. Beispiele dafür gibt es ja genug.

[RobertDebiannutzer]

Bitte, vorher hat alles funktioniert, so wie ich wollte, auch jetzt funktioniert immer noch alles, außer der Internetzugriff.

Die neuen Partitionen habe ich natürlich entsprechend gemountet.

Was ich inzwischen noch herausgefunden habe:
1. Ohne den Zusatz --overlay-tmpfs funktioniert alles wie gewohnt. Aber vorher hat es mit --overlay-tmpfs auch immer geklappt. Irgendetwas stimmt da also nicht.
2. Dass die "Firetools" den Prozess nicht angezeigt haben, lag daran, dass ich gleichzeitig mit den gestrigen Änderungen in /etc/fstab auch hidepid=2 zu proc hinzugefügt habe.

Freundliche Grüße

Robert

P.S.: Ich habe probehalber firejail und firetools mit synaptic neuinstalliert - brachte keine Änderung.