firejail + Browser -> Empfehlungen

Probleme mit Samba, NFS, FTP und Co.
Antworten
sergej2018

firejail + Browser -> Empfehlungen

Beitrag von sergej2018 » 12.03.2019 09:57:46

Moin zusammen,

nutze nun schon länger firejail im für den Browser (chromium).
Bisher immer mit --private und --private-temp. Das ist jedoch manchmal lästig, da ich Einstellungen und Lesezeichen im Browser habe.

Nun nutze ich folgenden Befehl:

Code: Alles auswählen

firejail --private-tmp --private-dev --blacklist=/zfs1 --blacklist=/zfs2 chromium --incognito
zfs1/2 sind Mountpoints von ZFS-Laufwerken. Ich habe nämlich festgestellt, dass diese sonst trotzdem problemlos lesbar sind.

Mein Ziel ist, den Browser möglichst weit abzusichern. Nun kann ich aber z.B. trotzdem das Verzeichnis /etc browsen. Insofern habe ich noch kein allzu sicheres Gefühl bei der Sache.
Was empfehlt ihr, bzw. wie nutzt ihr firejail so?

willy4711

Re: firejail + Browser -> Empfehlungen

Beitrag von willy4711 » 12.03.2019 10:42:36

Ich habe immer drei Versionen meiner genutzten Browser:
Einmal den "normalen" Browser"den ich je nach Benutzung normal oder über dieDebian firetools starte.

Wenn ich mal meine Bankkonten ansehen will (nur ansehen, Überweisungen u.ä. passieren grundsätzlich in einer VM / HBCI)
hab ich noch ein ganz eigenständiges Profil
Startbefehl für Waterfox analog auch firefox:

Code: Alles auswählen

firejail --private=~/.privat-browser/waterfox/   /opt/waterfox/waterfox -no-remote
Dafür musst du die Ordner ~/.privat-browser/waterfox/ (oder wie auch immer benannt)
Vorher angelegt haben.
Firejail kopiert dann den kompletten Browser samt eigenen Profil in dieses Verzeichnis (wird auch geupdated)
Irgendwas speichern kannst du dann nur in diesem Verzeichnis. Alles andere ist je nach Blacklist nicht einsehbar, schreib-bar sowieso nicht.
Vorteil : Deine Einstellungen (Lesezeichen usw.) bleiben erhalten.

sergej2018

Re: firejail + Browser -> Empfehlungen

Beitrag von sergej2018 » 12.03.2019 15:34:49

Ok, also das vorhandene Browser-Verzeichnis A wird in Verzeichnis B kopiert?
Und von da an gibt es zwei Verzeichnisse, die permanent verschieden sind?
Ich könnte also 2 verschiedene Instanzen von Firefox starten?

willy4711

Re: firejail + Browser -> Empfehlungen

Beitrag von willy4711 » 12.03.2019 15:41:18

sergej2018 hat geschrieben: ↑ zum Beitrag ↑
12.03.2019 15:34:49
Ok, also das vorhandene Browser-Verzeichnis A wird in Verzeichnis B kopiert?
Und von da an gibt es zwei Verzeichnisse, die permanent verschieden sind?
Ich könnte also 2 verschiedene Instanzen von Firefox starten?
1) Nur anlegen - den Rest macht firejail , soweit ich mich erinnere, mit leerem Profil (ist schon lange her)
2) Ja - nur das Profil -- FF ist immer aktuell - die Programmdateien werden bei einem Update automatisch in das zweite Verzeichnis kopiert.
3) Ja durch -no-remote

sergej2018

Re: firejail + Browser -> Empfehlungen

Beitrag von sergej2018 » 12.03.2019 15:56:39

Ah super, dann könnte ich in diesem neuen Verzeichnis meinen Browser also wie gewohnt konfigurieren mit Lesezeichen etc. und das bliebe dann auch erhalten?
Außerdem gäbe es ein Download-Verzeichnis, das quasi permanent ist?

willy4711

Re: firejail + Browser -> Empfehlungen

Beitrag von willy4711 » 12.03.2019 15:58:40

ja ja ja

sergej2018

Re: firejail + Browser -> Empfehlungen

Beitrag von sergej2018 » 12.03.2019 16:10:33

Frage mich jetzt bloß: Wenn ich firejail NICHT mit --private starte, dann ist das Ergebnis doch quasi das selbe wie oben?
Außer dass ich - würde ich Firefox dann mal nicht mit firejail starten - nicht 2 verschiedene Verzeichnisse hätte?

willy4711

Re: firejail + Browser -> Empfehlungen

Beitrag von willy4711 » 12.03.2019 16:29:56

Nein das Ergebnis ist jedes mal anders.

Code: Alles auswählen

/usr/bin/firefox
-----------> ein "normaler" Browser mit deinem "normalen" Porfil

Code: Alles auswählen

firejail --private  firefox -no-remote
----- > ein "nackter" eingesperrter Browser, der auch kein Profil speichert

Code: Alles auswählen

firejail --private=~/.privat-browser/firefox/  firefox -no-remote
---> ein eingesperrter Browser, der auch ein eigenes Profil hat, das gespeichetrt wird.

sergej2018

Re: firejail + Browser -> Empfehlungen

Beitrag von sergej2018 » 12.03.2019 17:14:48

Ah, dankeschön!
Und wenn ich deine letzte Option nehme und das Home-Verzeichnis für den Browser nicht explizit angebe, so wird einfach das standardmäßige genommen?
Dies hat ansonsten aber auch keinerlei Auswirkungen, also die Sicherheit wird dadurch nicht beeinträchtigt?

katzenfan
Beiträge: 563
Registriert: 19.04.2008 22:59:51

Re: firejail + Browser -> Empfehlungen

Beitrag von katzenfan » 22.03.2022 00:02:58

willy4711 hat geschrieben: ↑ zum Beitrag ↑
12.03.2019 16:29:56

Code: Alles auswählen

firejail --private=~/.privat-browser/firefox/  firefox -no-remote
---> ein eingesperrter Browser, der auch ein eigenes Profil hat, das gespeichetrt wird.
Hab' das mal probiert.

Es klappt, doch ein zum Firefox zusätzlicher Prozess namens Firejail, der doch sicherlich gestartet werden müsste, wenn Firefox wie vorgeschlagen gestartet wird, via "top" nicht aufgeführt, und auch der Begriff "Sandbox" wird nicht genannt; hier jedenfalls nicht.

Und das Absenden des Beitrages dauert gefühlt Ewigkeiten.

willy4711

Re: firejail + Browser -> Empfehlungen

Beitrag von willy4711 » 22.03.2022 00:14:02

katzenfan hat geschrieben: ↑ zum Beitrag ↑
22.03.2022 00:02:58
Es klappt, doch ein zum Firefox zusätzlicher Prozess namens Firejail, der doch sicherlich gestartet werden müsste, wenn Firefox wie vorgeschlagen gestartet wird, via "top" nicht aufgeführt, und auch der Begriff "Sandbox" wird nicht genannt; hier jedenfalls nicht.
Verstehe ich nicht bei mir sieht das so aus (htop)

Code: Alles auswählen

  PID USER      PRI  NI  VIRT   RES   SHR S CPU% MEM%   TIME+  Command
 272584 willy       20   0  5316  2792  2308 S  0.0  0.0  0:00.01 │  │  │  │  │  │  └─ firejail --private=~/.privat-browser/Firefox/ firefox -no-remote
 272587 willy       20   0  6940  3408  2784 S  0.0  0.0  0:00.06 │  │  │  │  │  │     ├─ firejail --private=~/.privat-browser/Firefox/ firefox -no-remote
 272594 willy       20   0 3614M  340M  168M S  0.0  1.1  0:07.83 │  │  │  │  │  │     │  └─ firefox -no-remote
 273063 willy       20   0 3614M  340M  168M S  0.0  1.1  0:00.05 │  │  │  │  │  │     │     ├─ firefox -no-remote
 272998 willy       20   0 3614M  340M  168M S  0.0  1.1  0:00.00 │  │  │  │  │  │     │     ├─ firefox -no-remote
 272997 willy       20   0 3614M  340M  168M S  0.0  1.1  0:00.00 │  │  │  │  │  │     │     ├─ firefox -no-remote
 272996 willy       20   0 3614M  340M  168M S  0.0  1.1  0:00.00 │  │  │  │  │  │     │     ├─ firefox -no-remote
 272894 willy       20   0 3614M  340M  168M S  0.0  1.1  0:00.00 │  │  │  │  │  │     │     ├─ firefox -no-remote
 272893 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.04 │  │  │  │  │  │     │     ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isForBr
 272930 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272929 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272928 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272924 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272919 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272918 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272917 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272916 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272915 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272914 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272912 willy       20   0 2339M 60632 49080 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  └─ /opt/firefox_beta/firefox-bin -contentproc -childID 5 -isFo
 272890 willy       20   0 3614M  340M  168M S  0.0  1.1  0:00.00 │  │  │  │  │  │     │     ├─ firefox -no-remote
 272889 willy       20   0 2339M 61188 49640 S  0.0  0.2  0:00.04 │  │  │  │  │  │     │     ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 4 -isForBr
 272927 willy       20   0 2339M 61188 49640 S  0.0  0.2  0:00.00 │  │  │  │  │  │     │     │  ├─ /opt/firefox_beta/firefox-bin -contentproc -childID 4 -isFo[
[.....................]

katzenfan
Beiträge: 563
Registriert: 19.04.2008 22:59:51

Re: firejail + Browser -> Empfehlungen

Beitrag von katzenfan » 22.03.2022 07:35:16

willy4711 hat geschrieben: ↑ zum Beitrag ↑
22.03.2022 00:14:02
Verstehe ich nicht bei mir sieht das so aus (htop)
Nö, hier nicht.

Htop war noch nicht installiert, aber der Aufruf nach der Installation führt nicht zum gewünschten Ergebnis; der Begriff "firejail" wird in der ganzen Aufstellung nicht einmal genannt; allerdings hat das System "firefox" aus dem Aufrufbefehl automatisch in "firefox-esr" umbenannt. Werd' prüfen, ob das der Grund ist, daß Firejail offenbar doch nicht werkelt.

Edit: Nö, keine Änderung der Aussage.

Die Konsole sagt folgendes:

Code: Alles auswählen

....@linuxlocal:~$ firejail --private=~/.firefox-privat/ firefox -no-remote
Reading profile /etc/firejail/firefox.profile
Reading profile /etc/firejail/whitelist-usr-share-common.inc
Reading profile /etc/firejail/firefox-common.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-exec.inc
Reading profile /etc/firejail/disable-interpreters.inc
Reading profile /etc/firejail/disable-proc.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-run-common.inc
Reading profile /etc/firejail/whitelist-runuser-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Warning: networking feature is disabled in Firejail configuration file
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Parent pid 17141, child pid 17144
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Warning: logind not detected, nogroups command ignored
Warning: cleaning all supplementary groups
Child process initialized in 570.63 ms

(firefox-esr:7): IBUS-WARNING **: 20:51:35.702: Unable to connect to ibus: Verbindung ist gescheitert: Verbindungsaufbau abgelehnt
Da ist doch sicher ein Fehler drin?

Antworten