Hoi Reiner,
Mit den Namespaces hatte ich bis letzte Woche auch noch nichts gemacht, dann hat man mir am Stammtisch Docker empfohlen. Ich habe es mir angeschaut und bin sehr begeistert. Die container Umgebungen lassen sich sehr einfach und platzsparend anlegen - die Container sind portabel. Es sind wesentlich weiterführenden Möglichkeiten vorhanden (z.B. kannst du pro container einen eigenen Hostnamen definieren - was ich benötigt habe).
Für mich fühlt sich das an wie ein erweitertes chroot - nur in schön! :)
Lohnt sich auf jeden Fall anzuschauen.
Cheers,
Andreas
-----Ursprüngliche Nachricht----- Von: Lug-dd [mailto:lug-dd-bounces@mailman.schlittermann.de] Im Auftrag von Reiner Lange Gesendet: Donnerstag, 19. Februar 2015 09:35 An: Linux-User-Group Dresden Betreff: Re: Firejail
Hallo Chris.
Scheint so als müsste ich mich mal mit Namespaces auseinander setzen. Davon habe ich bisher noch garnichts gehört. LXC ist mir auch neu. Mal sehn was man da lernen kann.
Übrigens, falls dir das Steilshoop was sagt, kennen wir uns glaub ich : )
Gruß, Reiner
On 16 Feb 2015, at 21:45, Christian Perle chris@linuxinfotag.de wrote:
Hallo Reiner,
On Mon, Feb 16, 2015 at 14:39:50 +0100, Reiner Lange wrote:
Jetzt habe ich https://l3net.wordpress.com/projects/firejail/ entdectk. Da gibt es auch debian Pakete. Kennt das jemand? Abgesehen von exploits die einem root geben, sollte das doch jegliche Spinoage auf die daten einschränken, die ich pro App freigebe…
Ich wollte es schon mal ausprobieren, hatte aber damals noch keinen 3er-Kernel. Hab es vorhin auf Debian Wheezy aus Sourcen gebaut und kurz angetestet. Der Wheezy-Kernel (3.2) hat einige Funktionen noch nicht, die firejail gerne nutzen will (z.B. seccomp). Die Namespaces funktionieren aber soweit. Private Mounts, Network- und PID-Namespaces usw. klappen. Im firefox-Profil hat der Browser die PID 1.
Etwas erstaunt war ich, dass trotz privatem /tmp-Verzeichis (und damit Wegfall der Socket-Datei /tmp/.X11-unix/X0) der X-Server trotzdem erreicht werden konnte. Liegt daran, dass der X-Socket auch als Abstract Socket (erstes Zeichen ist @) vom Server bereitgestellt wird.
Anscheinend macht firejail auch massiven Gebrauch von bind-mounts. Im firefox-Profil wird z.B. das /bin/mount-Binary durch einen privaten bind-mount ueber die Datei unzugaenglich gemacht. Das .ssh-Verzeichnis des Users wird durch einen privaten tmpfs-Mount ausgeblendet.
Was wären die Alternativen, mit denen ich ohne große Verränkungen im täglichen Betrieb Desktop Apps Sandboxen kann?
LXC (Linux Containers) nutzt auch Namespaces, CGroups usw., ist aber im Setup etwas aufwendiger. Kenne ich bisher aber auch nur theoretisch, noch keine Praxiserfahrung.
Gruss, Chris -- Christian Perle chris AT linuxinfotag.de 010111 http://chris.silmor.de/ 101010 LinuxGuitarKitesBicyclesBeerPizzaRaytracing
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd