Vlákno názorů k článku Firejail: zamkněte neposlušné aplikace do vězení v sandboxu od Pavel Tavoda - Tak toto som potreboval keby to fungovalo. Ja...

Tak toto som potreboval keby to fungovalo. Ja to potrebujem na jedinu vec, zamknut chrome. Skusal som to cez rozne programy tak som skusil aj toto. Bohuzial Chrome ma svoj vlastny SUID sandbox setup (/opt/google/chro­me/chrome-sandbox) ktory sa neda ovladat. Chcel som iba obmedzit aby mal pristup iba do adresara ~/Downloads. Firefox funguje, chrome nie, vidi vsetko. Nainstaloval som na Debian testing a pouzil /etc/firejail/go­ogle-chrome.profile, ak mate nejaky napad sem s nim, dakujem.

Chromium mi pod firejailem normálně běží. V podstatě to používám podobně, jak chcete.
Já používám firejail tak, že appku pouštím přes shell skript, který (pokud neexistuje) vytvoří prázdný adresář, v něm adresáře, které chci sdílet, ty pomocí bindfs (fuse) namountuju ze skutečného home a v profile mám (mimo jiné):
private ADRESÁŘ

Tím chromium vidí jen fake prázdný home a to, co mám namountované.

na chrome lze selinux a omezit kam může, ale máš pravdu, že chrome je největší průser v tomhle ohledu, naprosto tvrdohlavý a trváří se jako vlastní OS. Na Macu mám na chrome (či prohlížeč obecně) jiný profil a vystrčený vnc socket k primárnímu uživateli. Na linuxu ho zase mám v qemu pod kvm, neměl jsem chuť to jinak znásilňovat. Chromium se mi na freebsd podařilo dostat do jailu a docela funguje dobře, ale moc nepoužívám, raději firefox v tomhle prostředí.

Představa, že prohlížeš, který se setkává s jednou hrozbou za jinou, má plná přístup do složek uživatele mě trochu děsí.

Přesně tak, na jiné věci používám AppArmor (se selinuxem nějak nekamarádím). Jenže tyhle technologie umí jen blokovat přístup. Firejail umí udělat fake home, takže si appka nestěžuje a ani neví, že někam nemůže.

> Představa, že prohlížeš, který se setkává s jednou hrozbou za jinou, má plná přístup do složek uživatele mě trochu děsí.

Nemá. To, co v prohlížeči zpracovává obsah, tedy je vystaveno případnému útoku, už je sandboxované a s venkem komunikuje přes brokera. Už z tohoto sandboxu případný útočník typicky vyskakuje zneužitím chyby v kernelu a že tím vyskočí i z firejailu je jen detail, který nemusí nijak řešit.

Teoreticky možná...
Prakticky, alespoň pro mě, platí: "Kam může část aplikace, tam může celá aplikace." Obzvlášť u tak velkého a rychle vyvíjeného projektu, jako je chrome, si nedovedu představit se spoléhat na to že komunikace mezi sandboxovanou a nesandboxovanou částí bude 100% bez chyby. A čekal bych, že potenciální útok bude mířen právě tímhle směrem.

Když si člověk uvědomí kolik věcí má v home, tak obezřetnost je na místě. Pamatuji si, jak byla chyba v integrovaném prohlížeči PDF, myslím, že to byl FF i chrome, kde se útočník právě mohl dostat k lokálním datům. Byl jsem rád, že mám prohlížeče ve firejailu...

Pokud se podívám na CVE z chromu (https://www.cvedetails.com/product/15031/Google-Chrome.html?vendor_id=1224), vidím, že ty které mají znatelný dopad na bezpečnost nejsou chyby kernelu, ale chyby samotného chromu. Sandbox, o kterém mluvís je např. v chromu pořád sandbox v userspace...

Pouzivam a funguje. Mam ted zkompilovanou firejail version 0.9.63 . Doporucuju pouzivat novejsi verzi to co je v repositarich mi moc nefungovalo.
Clovek si to musi dokonfigurovat aby mu fungovali kamery jsou zakazane pres 'private-dev' tj. mit usebe

echo 'ignore private-dev' >> '${HOME}/.config/firejail/google-chrome.local'

Nebo radsi pouzivat chromium.

Jeste bych doplnil ze uzitecne si dat blacklist <tajne veci> do ${HOME}/.config/fi­rejail/global­.local

Taky bacha man pages jsou docela derave hodne veci je na wiki