Hallo zusammen.
Ich möchte wieder auf Linux zurückkehren um etwas mehr Sicherheit und Kontrolle zu bekommen. Was mich bisher davon abgehalten hat ist, das man bisher mit einem 0-Day exploit lediglich in eine meiner vielen Desktopanwendungen einbrechen musste um an alle Daten meines Benutzeraccounts heranzukommen. Ich müsste für jede Anwednung einen eigenen Nutzer anlegen um das zu verhindern.
Jetzt habe ich https://l3net.wordpress.com/projects/firejail/ https://l3net.wordpress.com/projects/firejail/ entdectk. Da gibt es auch debian Pakete. Kennt das jemand? Abgesehen von exploits die einem root geben, sollte das doch jegliche Spinoage auf die daten einschränken, die ich pro App freigebe…
Was wären die Alternativen, mit denen ich ohne große Verränkungen im täglichen Betrieb Desktop Apps Sandboxen kann? Wie das iPhone/IOS das macht find ich ganz gut, alles Automatisch und man merkt es garnicht. Bei mir öffne ich einen Dateityp immer nur mit jeweils einem Programm und daher darf ruhig alles getrennt von einander sein.
Gruß, Reiner
Hallo Reiner,
On 16 Feb 2015, at 14:39, Reiner Lange reiner.lange@gmx.de wrote:
Hallo zusammen.
[…] Was wären die Alternativen, mit denen ich ohne große Verränkungen im täglichen Betrieb Desktop Apps Sandboxen kann? Wie das iPhone/IOS das macht find ich ganz gut, alles Automatisch und man merkt es garnicht. Bei mir öffne ich einen Dateityp immer nur mit jeweils einem Programm und daher darf ruhig alles getrennt von einander sein.
Du kannst dir in diesem Fall einmal Qubes OS[1] ansehen. Hier wird jede Applikation ge-sandbox-ed/virtualisiert gestartet und du bestimmst, welche Applikation, welche Daten sehen darf. Ansonsten kann ich dir SELinux[2] an’s Herz legen - das schreiben eigener Policies erfordert jedoch einiges an Einarbeitung und fortgeschrittenen Linux-Kenntnissen (ohne jetzt eine Wertung deines Kenntnisstandes vornehmen zu wollen). Für letzteres würde ich dir allerdings Fedora/CentOS/RHEL empfehlen.
Viele Grüße, Martin
[1] https://qubes-os.org/ [2] http://selinuxproject.org/page/Main_Page
Hallo Martin.
Qubes scheint genau das zu sein was ich gesucht habe. Sieht so aus als hat sich in den letzten Jahren doch schon so einiges getan. Ich kannte bisher lediglich SELinux. Die damit verbundenen Aufwände haben mich bisher abgeschreckt. Da bin ich eher Endanwender und will das schon alles funktioniert : )
Gruß, Reiner
On 16 Feb 2015, at 21:26, Martin Probst maddin@megamaddin.org wrote:
Hallo Reiner,
On 16 Feb 2015, at 14:39, Reiner Lange reiner.lange@gmx.de wrote:
Hallo zusammen.
[…] Was wären die Alternativen, mit denen ich ohne große Verränkungen im täglichen Betrieb Desktop Apps Sandboxen kann? Wie das iPhone/IOS das macht find ich ganz gut, alles Automatisch und man merkt es garnicht. Bei mir öffne ich einen Dateityp immer nur mit jeweils einem Programm und daher darf ruhig alles getrennt von einander sein.
Du kannst dir in diesem Fall einmal Qubes OS[1] ansehen. Hier wird jede Applikation ge-sandbox-ed/virtualisiert gestartet und du bestimmst, welche Applikation, welche Daten sehen darf. Ansonsten kann ich dir SELinux[2] an’s Herz legen - das schreiben eigener Policies erfordert jedoch einiges an Einarbeitung und fortgeschrittenen Linux-Kenntnissen (ohne jetzt eine Wertung deines Kenntnisstandes vornehmen zu wollen). Für letzteres würde ich dir allerdings Fedora/CentOS/RHEL empfehlen.
Viele Grüße, Martin
[1] https://qubes-os.org/ [2] http://selinuxproject.org/page/Main_Page____________________________________... Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Hallo Reiner,
On Mon, Feb 16, 2015 at 14:39:50 +0100, Reiner Lange wrote:
Jetzt habe ich https://l3net.wordpress.com/projects/firejail/ entdectk. Da gibt es auch debian Pakete. Kennt das jemand? Abgesehen von exploits die einem root geben, sollte das doch jegliche Spinoage auf die daten einschränken, die ich pro App freigebe…
Ich wollte es schon mal ausprobieren, hatte aber damals noch keinen 3er-Kernel. Hab es vorhin auf Debian Wheezy aus Sourcen gebaut und kurz angetestet. Der Wheezy-Kernel (3.2) hat einige Funktionen noch nicht, die firejail gerne nutzen will (z.B. seccomp). Die Namespaces funktionieren aber soweit. Private Mounts, Network- und PID-Namespaces usw. klappen. Im firefox-Profil hat der Browser die PID 1.
Etwas erstaunt war ich, dass trotz privatem /tmp-Verzeichis (und damit Wegfall der Socket-Datei /tmp/.X11-unix/X0) der X-Server trotzdem erreicht werden konnte. Liegt daran, dass der X-Socket auch als Abstract Socket (erstes Zeichen ist @) vom Server bereitgestellt wird.
Anscheinend macht firejail auch massiven Gebrauch von bind-mounts. Im firefox-Profil wird z.B. das /bin/mount-Binary durch einen privaten bind-mount ueber die Datei unzugaenglich gemacht. Das .ssh-Verzeichnis des Users wird durch einen privaten tmpfs-Mount ausgeblendet.
Was wären die Alternativen, mit denen ich ohne große Verränkungen im täglichen Betrieb Desktop Apps Sandboxen kann?
LXC (Linux Containers) nutzt auch Namespaces, CGroups usw., ist aber im Setup etwas aufwendiger. Kenne ich bisher aber auch nur theoretisch, noch keine Praxiserfahrung.
Gruss, Chris
Hallo Chris.
Scheint so als müsste ich mich mal mit Namespaces auseinander setzen. Davon habe ich bisher noch garnichts gehört. LXC ist mir auch neu. Mal sehn was man da lernen kann.
Übrigens, falls dir das Steilshoop was sagt, kennen wir uns glaub ich : )
Gruß, Reiner
On 16 Feb 2015, at 21:45, Christian Perle chris@linuxinfotag.de wrote:
Hallo Reiner,
On Mon, Feb 16, 2015 at 14:39:50 +0100, Reiner Lange wrote:
Jetzt habe ich https://l3net.wordpress.com/projects/firejail/ entdectk. Da gibt es auch debian Pakete. Kennt das jemand? Abgesehen von exploits die einem root geben, sollte das doch jegliche Spinoage auf die daten einschränken, die ich pro App freigebe…
Ich wollte es schon mal ausprobieren, hatte aber damals noch keinen 3er-Kernel. Hab es vorhin auf Debian Wheezy aus Sourcen gebaut und kurz angetestet. Der Wheezy-Kernel (3.2) hat einige Funktionen noch nicht, die firejail gerne nutzen will (z.B. seccomp). Die Namespaces funktionieren aber soweit. Private Mounts, Network- und PID-Namespaces usw. klappen. Im firefox-Profil hat der Browser die PID 1.
Etwas erstaunt war ich, dass trotz privatem /tmp-Verzeichis (und damit Wegfall der Socket-Datei /tmp/.X11-unix/X0) der X-Server trotzdem erreicht werden konnte. Liegt daran, dass der X-Socket auch als Abstract Socket (erstes Zeichen ist @) vom Server bereitgestellt wird.
Anscheinend macht firejail auch massiven Gebrauch von bind-mounts. Im firefox-Profil wird z.B. das /bin/mount-Binary durch einen privaten bind-mount ueber die Datei unzugaenglich gemacht. Das .ssh-Verzeichnis des Users wird durch einen privaten tmpfs-Mount ausgeblendet.
Was wären die Alternativen, mit denen ich ohne große Verränkungen im täglichen Betrieb Desktop Apps Sandboxen kann?
LXC (Linux Containers) nutzt auch Namespaces, CGroups usw., ist aber im Setup etwas aufwendiger. Kenne ich bisher aber auch nur theoretisch, noch keine Praxiserfahrung.
Gruss, Chris -- Christian Perle chris AT linuxinfotag.de 010111 http://chris.silmor.de/ 101010 LinuxGuitarKitesBicyclesBeerPizzaRaytracing
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Hoi Reiner,
Mit den Namespaces hatte ich bis letzte Woche auch noch nichts gemacht, dann hat man mir am Stammtisch Docker empfohlen. Ich habe es mir angeschaut und bin sehr begeistert. Die container Umgebungen lassen sich sehr einfach und platzsparend anlegen - die Container sind portabel. Es sind wesentlich weiterführenden Möglichkeiten vorhanden (z.B. kannst du pro container einen eigenen Hostnamen definieren - was ich benötigt habe).
Für mich fühlt sich das an wie ein erweitertes chroot - nur in schön! :)
Lohnt sich auf jeden Fall anzuschauen.
Cheers,
Andreas
-----Ursprüngliche Nachricht----- Von: Lug-dd [mailto:lug-dd-bounces@mailman.schlittermann.de] Im Auftrag von Reiner Lange Gesendet: Donnerstag, 19. Februar 2015 09:35 An: Linux-User-Group Dresden Betreff: Re: Firejail
Hallo Chris.
Scheint so als müsste ich mich mal mit Namespaces auseinander setzen. Davon habe ich bisher noch garnichts gehört. LXC ist mir auch neu. Mal sehn was man da lernen kann.
Übrigens, falls dir das Steilshoop was sagt, kennen wir uns glaub ich : )
Gruß, Reiner
On 16 Feb 2015, at 21:45, Christian Perle chris@linuxinfotag.de wrote:
Hallo Reiner,
On Mon, Feb 16, 2015 at 14:39:50 +0100, Reiner Lange wrote:
Jetzt habe ich https://l3net.wordpress.com/projects/firejail/ entdectk. Da gibt es auch debian Pakete. Kennt das jemand? Abgesehen von exploits die einem root geben, sollte das doch jegliche Spinoage auf die daten einschränken, die ich pro App freigebe…
Ich wollte es schon mal ausprobieren, hatte aber damals noch keinen 3er-Kernel. Hab es vorhin auf Debian Wheezy aus Sourcen gebaut und kurz angetestet. Der Wheezy-Kernel (3.2) hat einige Funktionen noch nicht, die firejail gerne nutzen will (z.B. seccomp). Die Namespaces funktionieren aber soweit. Private Mounts, Network- und PID-Namespaces usw. klappen. Im firefox-Profil hat der Browser die PID 1.
Etwas erstaunt war ich, dass trotz privatem /tmp-Verzeichis (und damit Wegfall der Socket-Datei /tmp/.X11-unix/X0) der X-Server trotzdem erreicht werden konnte. Liegt daran, dass der X-Socket auch als Abstract Socket (erstes Zeichen ist @) vom Server bereitgestellt wird.
Anscheinend macht firejail auch massiven Gebrauch von bind-mounts. Im firefox-Profil wird z.B. das /bin/mount-Binary durch einen privaten bind-mount ueber die Datei unzugaenglich gemacht. Das .ssh-Verzeichnis des Users wird durch einen privaten tmpfs-Mount ausgeblendet.
Was wären die Alternativen, mit denen ich ohne große Verränkungen im täglichen Betrieb Desktop Apps Sandboxen kann?
LXC (Linux Containers) nutzt auch Namespaces, CGroups usw., ist aber im Setup etwas aufwendiger. Kenne ich bisher aber auch nur theoretisch, noch keine Praxiserfahrung.
Gruss, Chris -- Christian Perle chris AT linuxinfotag.de 010111 http://chris.silmor.de/ 101010 LinuxGuitarKitesBicyclesBeerPizzaRaytracing
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
lug-dd@mailman.schlittermann.de
-
Andreas Roth -
Christian Perle -
Martin Probst -
Reiner Lange