Firejail - Anwendungen unter Linux in die Sandbox
Eine Sandbox sperrt Prozesse in ein Verzeichnis und schottet diese so gesehen vom restlichen System ab. Mit Firejail ist dies auch unter Linux problemlos und ganz einfach möglich.
#firejail
Datenschutz mit Firejail unter Linux
Nur so als Randnotiz ein mini-howto. Beispiel soll folgendes sein: ich habe unter Linux einen PDF-Editor, der JavaScript kann und deshalb möchte ich das dieser netzwerkmässig die Klappe halten soll.
Wie ließe das also verhindern? Der master-pdf wird (bei devuan GNU/LInux) in /opt installiert, also ist der Pfad recht einfach zu finden - in diesem Beispiel also: /opt/master-pdf-editor-4/masterpdfeditor4
In einem Terminal somit folgender Befehl:
$ firejail --noprofile --net=none /opt/master-pdf-editor-4/masterpdfeditor4
So wird dieser gestartet, ohne verwirrendes Sicherheits-Schnickschnack zwar, aber eben ohne aktives Netzwerk. Fertig,
Nur noch eine kurze Erklärung zu firejail bei obigem Kommando.
--noprofile - do not use a security profile
--net=none - enable a new, unconnected network namespace
Sollte bei jeder guten Linux-Distribution dabei sein.
Q: How do people normally "emulate" a Linux distro?
How I know it can be done -- with docker. It has straight-forward techniques to run an OS, but generally it recommends to only run 1 service per docker instance.
How I'm currently doing it -- with debootstrap & bubblewrap. A command like this is what's run on my system now:
env -i TERM=xterm PATH='/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin' \
bwrap \
--bind debian-stretch/ / \
--dev /dev --proc /proc \
--unshare-ipc --unshare-pid \
--die-with-parent \
--new-session /bin/bash
It has the downside of that I'm running it as real root on the host system.
So, main question: how should I be doing it? Ideally, I'd like to run something unprivileged. The virtualized / containerized system should think it has root though. Thoughts?
#linux #debootstrap #bubblewrap #container #cgroup #namespace #firejail