Browser möglichst sicher betreiben

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
sergej2018

Browser möglichst sicher betreiben

Beitrag von sergej2018 » 20.07.2018 18:09:46

Hey zusammen,

der Webbrowser ist ja bekanntlich das typische Einfallstor für Malware (neben dem Mailclient).
Wie kann ich unter Debian einen Browser möglichst sicher betreiben? Abgesehen von der entsprechenden Konfiguration des Browsers selbst natürlich.
Bisher fällt mir nur ein, den Browser unter einem User mit möglichst wenig Rechten zu starten.
An der GUI angemeldet ist also User A, er öffnet einen Browser, aber dieser wird mit Rechten von User B gestartet.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Browser möglichst sicher betreiben

Beitrag von inne » 20.07.2018 18:28:29

Ja dazu haben wir im Wiki einen Beitrag - den kennst Du?

Welchen Browser verwendest Du?

IMO hat der Chromium sogar ein AppArmor Profile mit dabei. Beim Firefox müsste man das selbst schreiben.

Aber ein separates Benutzerkonto für den Browser ist wohl schon das beste was man tun kann (Wenn man die Einbussen im weiteren Workflow akzeptiert). Das AppArmor Profile könnte dann nur noch gegen evtl. Root-Expoilts(?) absichern.

Was auch noch ganz nett ist: Mit Debianbackintime täglich Snapshots vom Browserprofiel anlegen und dann ab und an mit Debianmeld vergleichen (in BackInTime hats da einen Aufruf für).

PS: Nicht der Mail-Client selbst im m.M.n. das Einfallstor, sondern die Mails bzw. Anhänge. Dann geht es nämlich weiter zum PDF-Viewer oä.


Aber das ist Alles nur eine Laien Meinung ;-)

pferdefreund
Beiträge: 3791
Registriert: 26.02.2009 14:35:56

Re: Browser möglichst sicher betreiben

Beitrag von pferdefreund » 20.07.2018 19:12:29

Bin seit ca 2005 unter LInux im Netz unterwegs - ja auch manchmal auf "dubiosen" Seiten. Habe auch schon mal ne adult.exe im /tmp gefunden usw. Passiert ist bisher allerdings nix. Solange man seine persönlichen Daten nicht auf dem Rechner hat und auch nicht irgendwo engibt - keine Ahnung inwieweit javarscript sowas lesen kann und ggf. unter einem anderen user surft sollte dem "Normalbürger" nix passieren. Ein Porno-Verteilserver würde sich bei mir sowieso nicht lohnen, da der Rechner täglich abends so eine Stunde an ist und der Upload bei meinem Anschluss einfach nur bescheiden ist. Ne Mail mit 2 Bildern braucht da schon mal 5 Minuten.

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 20.07.2018 20:55:49

Das mit dem anderen User probiere ich mit Chromium gerade einfach mal aus. Funktioniert nach 5min Einrichtungszeit problemlos ;-)
Welchen Gruppen muss ich den User hinzufügen, damit sowas wie youtube klappt? Audio und Video hab ich schon, reicht wohl noch nicht...

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Browser möglichst sicher betreiben

Beitrag von Animefreak79 » 20.07.2018 20:57:30

Ich führe meinen Browser, wobei es sich in erster Linie um Debianchromium handelt, mittels Debianfirejail in einer Sandbox aus. Diese Software ist recht angenehm über Textdateien im Ordner /etc/firejail/ zu konfigurieren, sowhl für Debianchromium als auch für Debianfirefox-esr sind vorgefertigte Profildateien mit der Endung .profile vorhanden. Dann habe ich noch einen Scriptblocker installiert, bei Debianchromium ist das ScriptBlock und bei Debianfirefox-esr müsste es sich um NoScript handeln... Zusätzlich ein Adblocker wie Adblock Plus ist auch keine schlechte Idee. Dann habe ich es noch so eingestellt, dass nach jedem Neustart der Browsercache gelöscht wird, in dem ich am Ende in die /etc/crontab eingefügt habe:

Code: Alles auswählen

@reboot root rm /home/shinji/.cache/chromium/Default/Cache/*
@reboot root rm /home/shinji/.cache/chromium/Default/Media*/*
@reboot root rm -r /home/shinji/.cache/mozilla/firefox
~ Never change a flying system ~

geier22

Re: Browser möglichst sicher betreiben

Beitrag von geier22 » 21.07.2018 08:28:17

Ich hab mal hier in einem Banking - Tread was zu Debianfirejail geschrieben:
viewtopic.php?f=37&t=167341&hilit=firej ... 5#p1151482

Allerdings würde ich den für das Privat- Banking gewählten DNS-Server von Google austauschen
gegen den von Quad9. Siehe auch hier:https://www.heise.de/newsticker/meldung ... 90741.html

Edit:

Tipps nicht nur für Paranoiker: https://www.privacy-handbuch.de/index.htm

Für Firefox zum Putzen: eCleaner (Forget Button)
Homepage: https://add0n.com/ecleaner.html -->praktisch und effektiv
wird von mir alle paar Minuten gedrückt (außer ich schreibe gerade einen Beitrag--> der wäre dann auch futsch :facepalm:)
Zusammen mit einem funktionierenden PW- Manager für Firefox, stört es auch nicht , das PW öfter eingeben zu müssen.

Da ich ein GUI- Fan bin, und der Meinung bin, dass man bei den heutigen Oberflächen auch ruhig mal ein GUI- Tool
verwenden darf, empfehle ich Debianbleachbit.
Bleachbit kann per Autostart gestartet werden und - wenn man will - das ganze /home löschen :mrgreen:
Wie - gesagt - sehr fein und mit Bedacht einstellbar. Aber unendlich effektiv.
Wird als Root - und Normal-User Version installiert.

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 21.07.2018 09:10:52

Firejail probiere ich gerade mal aus, aber zwei Dinge irritieren mich.
Gestartet hab ich's mit folgenden Parametern:

Code: Alles auswählen

firejail --private=/home/user/firejail/chromium/ chromium
Nun kann ich aber von Chromium aus (wenn ich ne Download-Location festlegen will) problemlos in meinem Homeverzeichnis rumschnüffeln und dort den Download speichern?
Außerdem läuft Chromium laut ps aux trotzdem unter meinem Usernamen?

geier22

Re: Browser möglichst sicher betreiben

Beitrag von geier22 » 21.07.2018 09:41:11

sergej2018 hat geschrieben: ↑ zum Beitrag ↑
21.07.2018 09:10:52
Nun kann ich aber von Chromium aus (wenn ich ne Download-Location festlegen will) problemlos in meinem Homeverzeichnis rumschnüffeln und dort den Download speichern?
Das eigene /home ist nur gesperrt, wenn du vorgehst, wie ich beschrieben habe:
Die nächste Stufe wäre dann, den Browser samt Profile in ein eigenes Verzeichnis zu sperren.
Dazu legst du in deinem /home ein Verzeichnis an : ich mache es mal einfach, wie ich es bei mir habe, da ich alle Browser da "eingesperrt" habe:
also z.B. wenn du dich in deinem /home befindest:.

Code: Alles auswählen

~$ mkdir .privat-browser/firefox
Das Verzeichnis kannst du natürlich bennen, wie du willst .Als nächstes rufst du firefox mit folgendem Befehl auf:

Code: Alles auswählen

firejail --private=~/.privat-browser/firefox/   /opt/firefox/firefox -no-remote
Erklärung: das /opt/firefox/firefox ist der Tatsache geschuldet, das ich FF -- direkt von Mozilla beziehe, und der eben bei mir in /opt/firefox zu Hause ist.
Der Rest geht dann quasi automatisch und wird von firejail selbst erledigt, in dem die Programmdateien von FF sowie ein eigenes Profil in dieses Verzeichnis kopiert werden. Firefox sieht von da ab nur dieses Verzeichnis.
Der nächste Schritt wäre dann ihm eine eigene IP sowie einen halbwegs Manipulations- sicheren DNS-Server zu verpassen die Befehlszeile, mit der du dann in Zukunft deinen Firefox aufrufst: dazu wäre dann z.B.
sergej2018 hat geschrieben: ↑ zum Beitrag ↑
21.07.2018 09:10:52
Außerdem läuft Chromium laut ps aux trotzdem unter meinem Usernamen?
Ja unter welchen User sollte er denn sonst laufen?
Ich halte nicht viel davon, für diesen Fall einen eigenen User anzulegen. Das Speichern der adult.exe :mrgreen: in /tmp verhinderst du auch mit der von mir
beschriebenen Einstellung. Da der >Browser dann nur in seinem Verzeichnis agiert, samt Cache. Du hast dann auch nur auf das ~/home/.privat/Browser Verzeichnis Zugriff.

Ansonsten sieh dir mal die Profildateien in /etc/firejail an. Dort kannst du ergründen, was das jeweilige Programm darf und was nicht.
Ändern kann man die natürlich mit entsprechendem Wissen auch.

Weitere Lektüre:
https://firejail.wordpress.com/
https://www.kuketz-blog.de/firejail-lin ... ten-teil4/

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 21.07.2018 09:56:43

Hm, aber genau so hab ich's doch gemacht?
Mit der Ausnahme, dass es den Befehl --no-remote nicht mehr zu geben scheint.

geier22

Re: Browser möglichst sicher betreiben

Beitrag von geier22 » 21.07.2018 10:50:49

Wenn ich mit Firefox mit Datei Öffnen in mein /home will sehe ich nur den Ordner download und sonst nix.
andere Verzeichnisse kann ich zwar sehen und teilweise öffnen, aber von FF heraus werden mir lesbare Dateien nur im Browser selbst angezeigt
Kannst du irgendeine Datei in deinem /home sehen?

-- no-remote gibt es nur für die Mozillas

Edit:
Um zu sehen, was da so getrieben wird, kannst du das ganze mal aus der Konsole starten:

Code: Alles auswählen

firejail --private=/home/user/firejail/chromium/ --debug chromium

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 21.07.2018 11:09:41

Sehen kann ich jedes Verzeichnis, öffnen kann ich auch jedes Verzeichnis.
Lediglich die darin befindlichen Dateien werden mir dann nicht angezeigt.
Was merkwürdig ist, denn natürlich sitzen die Verzeichnisrechte bewusst so, dass nur mein User Zugriff auf alles hat.

Gerade ausprobiert: Ich kann sogar in die Verzeichnisse schreiben, also etwas dorthin downloaden.
Also das überzeugt mich aber nun in Sachen Sicherheit nun nicht sonderlich...

geier22

Re: Browser möglichst sicher betreiben

Beitrag von geier22 » 21.07.2018 11:24:11

Dann hast du schlichtweg was falsch gemacht
bitte mal (übrigens: Was erhoffst du dir davon deinen Usernamen in Pfadangaben zu verheimlichen?) :

Code: Alles auswählen

ls -al /home/user/firejail/chromium/ 

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Browser möglichst sicher betreiben

Beitrag von spiralnebelverdreher » 21.07.2018 11:26:20

sergej2018 hat geschrieben: ↑ zum Beitrag ↑
21.07.2018 11:09:41
Sehen kann ich jedes Verzeichnis, öffnen kann ich auch jedes Verzeichnis.
Lediglich die darin befindlichen Dateien werden mir dann nicht angezeigt.
Was merkwürdig ist, denn natürlich sitzen die Verzeichnisrechte bewusst so, dass nur mein User Zugriff auf alles hat.

Gerade ausprobiert: Ich kann sogar in die Verzeichnisse schreiben, also etwas dorthin downloaden.
Also das überzeugt mich aber nun in Sachen Sicherheit nun nicht sonderlich...
Hier https://firejail.wordpress.com/document ... asic-usage ist das ganz gut erklärt:
Private mode is a quick way to hide all the files in your home directory from sandboxed programs. Enable it using --private command line option:

Code: Alles auswählen

 $ firejail --private firefox
Firejail mounts a temporary tmpfs filesystem on top of /home/user directory. Any files created in this directory will be deleted when you close the sandbox. You can also use an existing directory as home for your sandbox, allowing you to have a persistent home:

Code: Alles auswählen

 $ firejail --private=~/my_private_dir firefox
Firejail baut um den Browser herum eine Sandbox auf, die deine Verezichnisstruktur nachbildet (aber ohne Files) und die dem Browser Schreibvorgänge dorthin erlaubt (z.B. Cookies setzen). Der Witz dabei ist, dass beim Beenden (aber erst dann!) alles wieder abgeräumt wird.

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 21.07.2018 11:38:54

Bitte sehr:

Code: Alles auswählen

Rechner:/user# ls -al /home/user/firejail/chromium/
insgesamt 24
drwx------ 6 user user     8 Jul 21 11:11 .
drwx------ 3 user user     3 Jul 21 11:09 ..
-rw-r--r-- 1 user user  3526 Jul 21 11:10 .bashrc
drwx------ 3 user user     3 Jul 21 11:10 .cache
drwx------ 6 user user     6 Jul 21 11:12 .config
drwx------ 2 user user     2 Jul 21 11:11 Downloads
drwx------ 3 user user    3 Jul 21 11:10 .pki
-rw------- 1 user user 11302 Jul 21 11:14 .Xauthority
Das Schließen des Browsers probiere ich gleich mal aus ;-)

Edit: Pfad korrekt angepasst
Zuletzt geändert von sergej2018 am 21.07.2018 12:18:37, insgesamt 1-mal geändert.

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Browser möglichst sicher betreiben

Beitrag von Animefreak79 » 21.07.2018 11:53:11

sergej2018 hat geschrieben:Sehen kann ich jedes Verzeichnis, öffnen kann ich auch jedes Verzeichnis.
Lediglich die darin befindlichen Dateien werden mir dann nicht angezeigt.
Was merkwürdig ist, denn natürlich sitzen die Verzeichnisrechte bewusst so, dass nur mein User Zugriff auf alles hat.
Was zeigen denn

Code: Alles auswählen

cat /etc/firejail/chromium-common.profile
und

Code: Alles auswählen

cat /etc/firejail/chromium.profile
?
~ Never change a flying system ~

geier22

Re: Browser möglichst sicher betreiben

Beitrag von geier22 » 21.07.2018 11:57:07

sergej2018 hat geschrieben: ↑ zum Beitrag ↑
21.07.2018 11:38:54

Code: Alles auswählen

Rechner:/user# ls -al firejail/chromium/
Der Zeile entnehme ich, dass du ein Verzeichnis /user im Wurzelverzeichnis hast b.w angelegt hast?
ist mir zu blöd --- Ich bin raus

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 21.07.2018 12:17:56

Oh nein, das sieht nur falsch aus.

Das Verzeichnis befindet sich hier:

Code: Alles auswählen

/home/user/firejail/
Die Dateien in /etc/firejail sind unverändert so, wie sie nach der Installation auf Debian aussehen.

Edit:
Also zumindest mit chromium bleiben die heruntergeladenen Dateien in den "falschen" Verzeichnissen auch nach Schließen des Browsers vorhanden.

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 21.07.2018 18:08:02

Anhaltspunkt gefunden: Mein Homeverzeichnis liegt auf einem ZFS-Volume.
Wie ihr vllt wisst mountet ZFS - per default - ja immer direkt nach /.
Deshalb sieht es folgendermaßen aus: Es existieren die Verzeichnisse /homeuser und /home/user.
Letzteres ist ein Link auf ersteres.
In /home/user sehe ich tatsächlich nur den Downloads-Ordner. In /homeuser jedoch kann ich die komplette Verzeichnisstruktur sehen.

Problem: Ich könnte das ZVol zwar direkt nach /home/user mounten, dann müsste ich jedoch Anpassungen an diversen Stellen machen, davon möchte ich erstmal absehen.

@geier22: Warum so zickig? ;-)

geier22

Re: Browser möglichst sicher betreiben

Beitrag von geier22 » 21.07.2018 18:31:18

sergej2018 hat geschrieben: ↑ zum Beitrag ↑
21.07.2018 18:08:02
@geier22: Warum so zickig? ;-)
Genau aus dem Grund, auf den du jetzt einen Antwort gegeben hast.
Halbe bzw. falsche Infos und dann lass und mal raten :roll:

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 21.07.2018 18:41:05

Na wenns beabsichtigt geschehen würde, könnte ich dich ja verstehen ;-)

Hm, aber so oder so... das dürfte ja keinen Unterschied machen? Die Verzeichnisrechte sitzen trotzdem richtig...

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Browser möglichst sicher betreiben

Beitrag von Animefreak79 » 21.07.2018 19:30:29

sergej2018 hat geschrieben:Na wenns beabsichtigt geschehen würde, könnte ich dich ja verstehen ;-)
Naja, aber du musst schon zugeben, dass es etwas merkwürdig anmutet, dass du erst jetzt damit rausrückst, dass du deine Homeverzeichnis auf einer Partition mit ZFS-Filesystem liegen hast, oder? Ich benutze, wie geagt, ebenfalls Debianfirejail, meine Partition auf der sich /home befindet, ist mit einem stinknormalen ext4-Filesystem formatiert und ich kann mit Ausnahme vom Ordner Downloads kein einziges der anderen Verzeichnisse auch nur sehen. Deshalb meine Frage, wie deine Profildateien in /etc/firejail aussehen... Aber, wer kann denn wissen, dass du wegen ZFS homeuser und /home/user hast? Das ist (persönliche Meinung) schon ein wenig irritierend.
~ Never change a flying system ~

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 21.07.2018 23:04:47

Irritierend für euch auf jeden Fall, ja!
Im Betrieb merkt man davon allerdings keinen Unterschied, auch Verzeichnisrechte usw. werden natürlich ganz normal gesetzt.
Insofern glaub ich auch kaum, dass - ZFS hin oder her - das in diesem Fall nen Unterschied macht.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Browser möglichst sicher betreiben

Beitrag von uname » 22.07.2018 09:19:25

Leg die Daten doch in die Ramdisk. Evtl. musst du beim Aufruf des Browsers die Struktur per Skript initialisieren.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Browser möglichst sicher betreiben

Beitrag von spiralnebelverdreher » 22.07.2018 21:50:05

sergej2018 hat geschrieben: ↑ zum Beitrag ↑
21.07.2018 12:17:56
Oh nein, das sieht nur falsch aus.

Das Verzeichnis befindet sich hier:

Code: Alles auswählen

/home/user/firejail/
Die Dateien in /etc/firejail sind unverändert so, wie sie nach der Installation auf Debian aussehen.

Edit:
Also zumindest mit chromium bleiben die heruntergeladenen Dateien in den "falschen" Verzeichnissen auch nach Schließen des Browsers vorhanden.
Ich hab dieses seltsame Verhalten mal kurz für dich gesuchmaschiniert (https://firejail.wordpress.com/features-3/man-firejail/) und dort in einem Blogbeitrag vom 9. Februar 2017 gefunden:
Sorry, there is no support in this moment for user directories located outside /home.
Möglicherweise liegt hier und in der Verlinkung von ZFS von /home/user auf /homeuser die Ursache deines Problems.

sergej2018

Re: Browser möglichst sicher betreiben

Beitrag von sergej2018 » 23.07.2018 09:38:22

Guten Morgen,

danke, dass du nachgesehen hast!
Ist natürlich schade, dadurch wird's ja recht unflexibel in der Nutzbarkeit.

Aber wenn ich das richtig verstehe, kann man den Browser ja immernoch mit der Funktion --private verwenden, und hat ihn dann zumindest in einer Sandbox? Dann werden zwar keine Dateien wie Lesezeichen mehr gespeichert, aber zumindest für z.B. Online-Banking hat man dann ja einen recht sicheren Browser.

Antworten