DOMANDA Firejail su Linux? flatpak? docker?

[PECman]

Ciao! Premetto che su Windows vado bene con defender, estensioni nel browser e ogni tanto sandboxie solo per i browser, e non prendo malware da 4-5 anni.

Stavo cercando qualcosa per Linux solo per il browser e mi sono imbattuto in firejail, non ho trovato altro, che mi sembra una sandbox per i programmi e lo userei solo per il browser.

Ho letto che alcuni hanno fatto danni al SO usando questo sw perchè inesperti, voi lo usate? Consigliate? Opinioni?

Ma i malware/adware che a attaccano i browser su Windows, possono attaccare gli stessi browser per Linux?

Grazie in anticipo

 

[pabloski]

Ho letto che alcuni hanno fatto danni al SO usando questo sw perchè inesperti, voi lo usate? Consigliate? Opinioni?

Ma i malware/adware che a attaccano i browser su Windows, possono attaccare gli stessi browser per Linux?

Danni?

Comunque no. Non è possibile per un malware Windows girare su Linux. E' possibile che un browser presenti una vulnerabilità comune su entrambe le piattaforme, ma il codice dell'exploit dev'essere creato apposta per la piattaforma target.

Ad ogni modo, firejail è un software che semplifica ed automatizza l'utilizzo dei namespace Linux e di seccomp. Un metodo più completo è quello di usare i container.

Da notare che tutto quest'ambaradan, è implementato normalmente da Chrome/Chromium. Firefox non so. 2-3 anni fa, non ce l'aveva.

Morale della favola, è più facile pigliarsi l'AIDS che un virus su Linux.

 

[PECman]

Danni?

Comunque no. Non è possibile per un malware Windows girare su Linux. E' possibile che un browser presenti una vulnerabilità comune su entrambe le piattaforme, ma il codice dell'exploit dev'essere creato apposta per la piattaforma target.

Ad ogni modo, firejail è un software che semplifica ed automatizza l'utilizzo dei namespace Linux e di seccomp. Un metodo più completo è quello di usare i container.

Da notare che tutto quest'ambaradan, è implementato normalmente da Chrome/Chromium. Firefox non so. 2-3 anni fa, non ce l'aveva.

Morale della favola, è più facile pigliarsi l'AIDS che un virus su Linux.

grazie mille nella risposta.

cioè tutto quello che fa firejail, chromium (che uso su lubuntu) lo fa già?
cioè io cercavo una cosa tipo sandboxie: apri il browser in sandboxie e tutto rimane in sandboxie e quando chiudi sandboxie, ogni cambiamento fatto nel browser si resetta

 

[pabloski]

cioè tutto quello che fa firejail, chromium (che uso su lubuntu) lo fa già?

Esatto.

cioè io cercavo una cosa tipo sandboxie: apri il browser in sandboxie e tutto rimane in sandboxie e quando chiudi sandboxie, ogni cambiamento fatto nel browser si resetta

ed è quello che fa pure firejail https://firejail.wordpress.com/documentation-2/firefox-guide/#security

quando gli passi i flag --overlay-tmpfs o --private

e molte altre cose https://man7.org/linux/man-pages/man1/Firejail.1.html

 

[PECman]

e quindi dove sarebbero in chromium queste funzioni che ci sarebbero già? è qualcosa che va cercato nei flag tipo chrome://flag/altro? perchè nelle impostazioni non c'è, c'è la stessa roba di chrome su windos

 

[pabloski]

e quindi dove sarebbero in chromium queste funzioni che ci sarebbero già? è qualcosa che va cercato nei flag tipo chrome://flag/altro? perchè nelle impostazioni non c'è, c'è la stessa roba di chrome su windos

chrome://sandbox/

 

[EmanueleC]

grazie mille nella risposta.

cioè tutto quello che fa firejail, chromium (che uso su lubuntu) lo fa già?
cioè io cercavo una cosa tipo sandboxie: apri il browser in sandboxie e tutto rimane in sandboxie e quando chiudi sandboxie, ogni cambiamento fatto nel browser si resetta

Per quello ci sono le applicazioni su flathub con flatpak, che sono tutte in sandbox, i permessi li gestisci con flatseal. Come installare flatpak e lo store flathub:

Un esempio dei permessi di Firefox tramite flatpak/flathub, flatpak usa pure i portali, il che vuol dire che ha dei permessi momentanei quando apri un selettore di file.

 

[PECman]

Per quello ci sono le applicazioni su flathub con flatpak, che sono tutte in sandbox, i permessi li gestisci con flatseal. Come installare flatpak e lo store flathub:

Un esempio dei permessi di Firefox tramite flatpak/flathub, flatpak usa pure i portali, il che vuol dire che ha dei permessi momentanei quando apri un selettore di file.
Visualizza allegato 378677

Wow grazie, me lo studierò, hai pure un canale YouTube.

Però in effetti sembrerebbe più comodo un sw che attivi con un click quando vuoi, anziché modificare in modo permanente il browser, perché alla fine io sandboxie lo uso solo per il browser

 

[pabloski]

Però in effetti sembrerebbe più comodo un sw che attivi con un click quando vuoi, anziché modificare in modo permanente il browser, perché alla fine io sandboxie lo uso solo per il browser

Nel caso citato da EmanueleC, non c'è nulla da modificare. Semplicemente installi Firefox tramite Flatpak e ti ritrovi con tutte quelle cose attive su Firefox. Il resto del sistema non viene toccato.

Come scrivevo nel primo post, Linux ha molte tecnologie di sandboxing. Flatpak è una di esse. Implementa anche il sandboxing, ma gli scopi generali sono altri.

 

[PECman]

Nel caso citato da EmanueleC, non c'è nulla da modificare. Semplicemente installi Firefox tramite Flatpak e ti ritrovi con tutte quelle cose attive su Firefox. Il resto del sistema non viene toccato.

Come scrivevo nel primo post, Linux ha molte tecnologie di sandboxing. Flatpak è una di esse. Implementa anche il sandboxing, ma gli scopi generali sono altri.

Quello lo ho capito, ma allora le cose sono 2, siccome io vorrei una cosa uguale a sandboxie:

- o ogni volta che chiudo il browser le modifiche si perdono (e non mi sta bene avvenga sempre, per esempio se voglio aggiungere un segnalibro o una estensione);
- o non fa la stessa cosa di sandboxie.

Cioè con sandboxie se mi prendo un adware, chiudo la sandbox e l’adware non c’è più.

 

[pabloski]

Quello lo ho capito, ma allora le cose sono 2, siccome io vorrei una cosa uguale a sandboxie:

- o ogni volta che chiudo il browser le modifiche si perdono (e non mi sta bene avvenga sempre, per esempio se voglio aggiungere un segnalibro o una estensione);
- o non fa la stessa cosa di sandboxie.

Cioè con sandboxie se mi prendo un adware, chiudo la sandbox e l’adware non c’è più.

Firejail ti consente ANCHE di funzionare stateless, cioè perdendo tutti i dati della sessione. Ma di default li conserva.

Flatpak li conserva sempre. Non ha una modalità stateless.

Sandboxie non so esattamente come faccia. Cioè se installi un adware e dopo sparisce, allora è stateless e quindi non dovrebbe conservare nemmeno i dati.

 

[PECman]

Firejail ti consente ANCHE di funzionare stateless, cioè perdendo tutti i dati della sessione. Ma di default li conserva.

Flatpak li conserva sempre. Non ha una modalità stateless.

Sandboxie non so esattamente come faccia. Cioè se installi un adware e dopo sparisce, allora è stateless e quindi non dovrebbe conservare nemmeno i dati.

Assolutamente si, è un ambiente virtuale, puoi impostarlo a permanenza o che tutto quello che c’è nella sandbox venga cancellato quando la chiudi.

Io infatti faccio così: se voglio aggiungere un segnalibro o un’estensione o un aggiornamento, apro il browser fuori da sandboxie, altrimenti dentro

 

[EmanueleC]

Assolutamente si, è un ambiente virtuale, puoi impostarlo a permanenza o che tutto quello che c’è nella sandbox venga cancellato quando la chiudi.

Io infatti faccio così: se voglio aggiungere un segnalibro o un’estensione o un aggiornamento, apro il browser fuori da sandboxie, altrimenti dentro

Scusa, ma non è la stessa cosa che fa la sessione in incognito? quando vuoi salvare qualcosa la avvii normale, quando vuoi che cancelli tutto vai nella sessione in incognito, ma la differenza è che li sei sempre in sandbox.
Il canale l'ho creato solo a scopo di mettere qualche guida, non per altro.

 

[PECman]

Scusa, ma non è la stessa cosa che fa la sessione in incognito? quando vuoi salvare qualcosa la avvii normale, quando vuoi che cancelli tutto vai nella sessione in incognito, ma la differenza è che li sei sempre in sandbox.
Il canale l'ho creato solo a scopo di mettere qualche guida, non per altro.

Ho appena scoperto una cosa triste https://www.sandboxie.com/ , sempre così: qualcuno acquisisce una cosa che funziona e la lascia fallire

Comunque no, con sandboxie quello che scarichi, consapevole o no, resta nella sandbox e non contamina il resto del SO, e che io sappia la mod incognito serve solo per cookies e cronologia tipo
--- i due messaggi sono stati uniti ---
Ah no però qualcuno sta continuando https://www.wilderssecurity.com/threads/sandboxie-technologies-sbie-open-source.428156/page-6

 

[EmanueleC]

Ho appena scoperto una cosa triste https://www.sandboxie.com/ , sempre così: qualcuno acquisisce una cosa che funziona e la lascia fallire

Comunque no, con sandboxie quello che scarichi, consapevole o no, resta nella sandbox e non contamina il resto del SO, e che io sappia la mod incognito serve solo per cookies e cronologia tipo
--- i due messaggi sono stati uniti ---
Ah no però qualcuno sta continuando https://www.wilderssecurity.com/threads/sandboxie-technologies-sbie-open-source.428156/page-6

flatpak è sempre in sandbox, cioè isolato dal sistema, sia che usi la modalità incognito che normale. Lo avevo specificato su.

https://github.com/flatpak/flatpak/wiki/Sandbox