Firmenbrief

19.07.2017

Tipps vom LIS-Service: Sandkastenspiele mit Firejail


Das Ausführen von gefährdeten Anwendungen in einer chroot-Umgebung ist unter Linux nicht ungewöhnlich. Das Tool Firejail bietet eine bequeme Möglichkeit, nach dem „Sandkastenprinzip" für eine Vielzahl von Programmen vordefinierte chroot Umgebungen in verschiedenen, bereits erstellten Profilen zu nutzen, ohne dass die installierte Software gefährdet ist. Der Sandkasten ist dabei vergleichbar mit einem geschützten Raum, der von der übrigen Umgebung abgetrennt ist.

Die Liste der Konfigurationsmöglichkeiten ist lang, daher hier nur ein exemplarisches Beispiel:

firejail -privat -dns=213.73.91.35 -netfilter=/etc/firejail/nolocal.net
firefox

Erklärung der Parameter:
  • --privat: untersagt firefox den Zugriff auf das Verzeichnis des Users
  • --dns:übergibt der Sandbox einen vom restlichen System unabhängigen DNS-Server
  • --netfilter: startet die Sandbox mit eigenen iptables Regeln. Auch hier wurden bereits Profile angelegt. Im Beispiel hat Firefox keinen Zugriff auf das interne Netzwerk.

Welche Programme sollten in einer Sandbox laufen? Grundsätzlich alle Programme und Dienste die mit dem Internet oder dem lokalen Netzwerk Daten austauschen. Darüber hinaus solche, die Medien abspielen, wie der mplayer oder auch PDF-Reader etc.