Linux hat den Ruf, ziemlich sicher zu sein, und von den drei großen Betriebssystemen gibt es weitaus weniger Probleme, wenn es um den Datenschutz geht. So sicher Linux auch sein kann, es gibt immer Raum für Verbesserungen. Wir stellen Firejail vor. Es ist eine Anwendung, die es Benutzern ermöglicht, jede laufende App zu nehmen und „einzusperren“ oder „zu sandboxen“. Mit Firejail können Sie eine App isolieren und verhindern, dass sie auf andere Elemente im System zugreift. Die App ist das beliebteste Programm-Sandboxing-Tool unter Linux. Aus diesem Grund haben sich viele Linux-Distributionen entschieden, diese Software auszuliefern. So erhalten Sie Firejail unter Linux.
SPOILER-WARNUNG: Scrollen Sie nach unten und sehen Sie sich das Video-Tutorial am Ende dieses Artikels an.
Inhaltsverzeichnis
Installation
Ubuntu
sudo apt install firejail
Debian
sudo apt-get install firejail
Arch-Linux
sudo pacman -S firejail
Nicht zufrieden mit der Repo-Version von Firejail auf Arch? Überlege zu bauen die Git-Version von der AUR statt.
Fedora
Leider ist kein Firejail-Paket für Fedora zu sehen. Die wichtigsten Repos haben es nicht, und es gibt keinen Grund zu der Annahme, dass sich dies ändern wird. Fedora-Benutzer können die Software weiterhin mit Copr installieren.
Copr ist PPAs auf Ubuntu oder dem Arch Linux AUR sehr ähnlich. Jeder Benutzer kann ein Copr-Repo erstellen und Software darauf installieren. Es gibt viele FireJail Copr Repos, also wenn das eine, das wir in diesem Artikel auflisten, nicht mehr aktualisiert wird, zögern Sie nicht gehen Sie auf die Website und Ersatz finden.
Um Firejail auf Fedora zu bekommen, tun Sie:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
OpenSUSE
Wie die meisten Drittanbieter-Software für Suse finden Benutzer Firejail im OBS. Versionen von Firejail können schnell für die neuesten Versionen von Leap und Tumbleweed installiert werden. Schnappt sie Hier.
Achten Sie darauf, auf die 1-Klick-Schaltfläche zu klicken, um über YaST zu installieren.
Andere
Der Quellcode für Firejail ist leicht verfügbar und einfach zu kompilieren, wenn Sie eine nicht unterstützte Linux-Distribution verwenden.
Installieren Sie zunächst das Git-Paket auf Ihrer Linux-Version. Öffnen Sie dazu Ihren Paketmanager, suchen Sie nach „git“ und installieren Sie es auf dem System. Stellen Sie sicher, dass Sie auch alle Build-Tools speziell für Ihre Linux-Distribution installieren, falls Sie dies noch nicht getan haben (es sollte leicht zu finden sein, schauen Sie einfach im Wiki Ihrer Distribution nach). Beispielsweise erfordert das Kompilieren unter Debian/Ubuntu build-essential.
Sobald das Git-Paket auf dem System installiert wurde, verwenden Sie es, um die neueste Version der Firejail-Software zu erhalten.
git clone https://github.com/netblue30/firejail.git
Der Code ist auf dem System. Geben Sie den heruntergeladenen Ordner ein, um den Erstellungsprozess mit dem Befehl cd zu starten.
cd firejail
Bevor diese Software kompiliert werden kann, müssen Sie eine Konfiguration ausführen. Dadurch wird Ihr PC gescannt und der Software mitgeteilt, was Ihr PC hat, was die Spezifikationen sind usw. Dies ist wichtig, und ohne es wird die Software nicht erstellt.
configure
Das Programm ist zum Kompilieren konfiguriert. Lassen Sie uns nun ein Makefile generieren. Ein Makefile enthält Anweisungen zum Erstellen einer Software. Tun Sie dies mit dem make-Befehl.
make
Zuletzt installieren Sie die Firejail-Software auf Ihrem System:
sudo make install-strip
Verwenden von Firejail
Etwas mit Firejail zu sandboxen ist einfach. Für eine einfache Programm-Sandbox muss lediglich das Präfix „firejail“ verwendet werden, bevor ein Befehl eingegeben wird. Zum Beispiel: Um den Gedit-Texteditor in eine Sandbox zu versetzen und den Rest Ihrer Linux-Installation zu isolieren, tun Sie Folgendes: firejail gedit im Terminal. So funktioniert es ungefähr. Für einfaches Sandboxing reicht das aus. Da diese Software jedoch so pingelig ist, ist eine gewisse Konfiguration erforderlich.
Beispiel: Wenn Sie Firejail Firefox ausführen, wird der Firefox-Browser in einer gesperrten Sandbox ausgeführt, und nichts anderes auf dem System kann ihn berühren. Das ist großartig für die Sicherheit. Wenn Sie jedoch ein Bild in ein Verzeichnis herunterladen möchten, ist dies möglicherweise nicht möglich, da Firejail möglicherweise keinen Zugriff auf jedes Verzeichnis auf Ihrem System usw. hat. Daher müssen Sie es durchgehen und speziell auflisten wo eine Sandbox auf das System gehen kann und nicht gehen kann. So geht’s:
Profil Whitelisting und Blacklisting
Blacklisting und Whitelisting sind eine Pro-App-Sache. Es gibt keine Möglichkeit, globale Standardeinstellungen für den Zugriff von inhaftierten Apps festzulegen. Firejail hat bereits viele Konfigurationsdateien eingerichtet. Sie generieren vernünftige Standardwerte mit diesen Konfigurationsdateien, und als Ergebnis müssen einfache Benutzer keine Bearbeitung vornehmen. Wenn Sie jedoch ein fortgeschrittener Benutzer sind, kann das Bearbeiten dieser Dateitypen nützlich sein.
Öffnen Sie ein Terminal und gehen Sie zu /etc/firejail.
cd /etc/firejail
Verwenden Sie den Befehl LS, um den gesamten Inhalt des Verzeichnisses anzuzeigen, und verwenden Sie eine Pipe, um jede Seite sichtbar zu machen. Drücken Sie die Eingabetaste, um die Seite nach unten zu verschieben.
Suchen Sie die Konfigurationsdatei für Ihre App und notieren Sie sie. In diesem Fall werden wir mit dem Firefox-Beispiel fortfahren.
ls | more
Öffnen Sie das Firejail-Profil von Firefox im Nano-Texteditor.
sudo nano /etc/firejail/firefox.profile
Wie bereits erwähnt, hat die Firejail-App vernünftige Standardeinstellungen. Dies bedeutet, dass die Entwickler Standardeinstellungen durchlaufen und eingerichtet haben, die für die meisten Benutzer funktionieren sollten. Beispiel: Obwohl die App gesperrt ist, sind das Verzeichnis ~/Downloads und Plug-in-Verzeichnisse auf dem System verfügbar. Um weitere Elemente zu dieser Whitelist hinzuzufügen, gehen Sie zu dem Abschnitt der Konfigurationsdatei, in dem alles auf die Whitelist gesetzt wird, und schreiben Sie Ihre eigenen Regeln.
Um beispielsweise das Hochladen von Fotos in mein Facebook-Profil in der Firejail-Version von Firefox zu vereinfachen, muss ich Folgendes hinzufügen:
whitelist ~/Pictures
Die gleiche Prämisse kann für das Blacklisting verwendet werden. Um zu verhindern, dass die Sandbox-Version von Firefox bestimmte Verzeichnisse sieht (egal was), können Sie so etwas tun:
blacklist ~/secret/file/area
Speichern Sie Ihre Änderungen mit Strg + O
Hinweis: „~/“ bedeutet /home/aktueller Benutzer
Fazit
Sanboxing ist eine hervorragende Möglichkeit, sich vor undichten Anwendungen oder böswilligen Akteuren zu schützen, die versuchen, Ihre Daten zu stehlen. Wenn Sie unter Linux paranoid sind, ist es wahrscheinlich eine gute Idee, diesem Tool eine ernsthafte Chance zu geben.