DOMANDA Firejail su Linux? flatpak? docker?

[PECman]

flatpak è sempre in sandbox, cioè isolato dal sistema, sia che usi la modalità incognito che normale. Lo avevo specificato su.

https://github.com/flatpak/flatpak/wiki/Sandbox

mi è chiaro, ma @pabloski ha specificato (e lo avevo intuito anche io guardando il tuo post) che flatpak non ha modalità stateless e io non voglio una cosa sempre in sandbox. forse mi sono spiegato male ma io voglio questo: clicco su sandboxie o altro sw, mi apre il browser, chiudo e tutto quello che ho fatto viene perso, non deve restare: se si installa un keylogger(o altro sw, per dire una cosa a caso), non mi frega nulla che sia nella sandbox se può continuare a carpirmi i dati ogni volta che riapro il browser perchè è rimasto dopo che ho chiuso.

intanto ho installato i pacchetti di firejail, quindi penso tutto quello che serve a farlo funzionare e ho già notato che ff non funziona, cioè qualsiasi cosa clicco nel menù non si apre, manco la ricerca va. gli altri sw si.
però ho visto che mi apre chromium in mod non incognito e se lo chiudo e riapro con firejail non ha concellato la crono, quindi devo capire come si fa ad impostarlo in modalità stateless come diceva @pabloski e dal configuration wizard non sembra chiaro, nè ci sono video sul sito che lo spieghino.

ecco però non c'è nessuna grafica che faccia capire che un sw è aperto in firejail, sandboxie ti incornicia le sue finestre di giallo.

provate sandboxie così vi rendete conto

 

[pabloski]

Assolutamente si, è un ambiente virtuale, puoi impostarlo a permanenza o che tutto quello che c’è nella sandbox venga cancellato quando la chiudi.

Io infatti faccio così: se voglio aggiungere un segnalibro o un’estensione o un aggiornamento, apro il browser fuori da sandboxie, altrimenti dentro

Praticamente quello che fa Firejail.
--- i due messaggi sono stati uniti ---

come si fa ad impostarlo in modalità stateless

C'è il manuale https://man7.org/linux/man-pages/man1/Firejail.1.html

Comunque, se proprio ci tiene alla privacy così tanto, mi sa che l'unica soluzione per te è Qubes OS.

Il problema di Firejail è che bisogna studiarselo e costruire dei profili adeguati al proprio caso. Inoltre è integrato in Apparmor, per cui è opportunato usarlo con Ubuntu e similari. E, che io sappia, il pacchetto Firejail distribuito con Ubuntu è già configurato per l'uso ottimale con le applicazioni più comuni ( Firefox in primo luogo ).

 

[PECman]

Praticamente quello che fa Firejail.
--- i due messaggi sono stati uniti ---


C'è il manuale https://man7.org/linux/man-pages/man1/Firejail.1.html

Comunque, se proprio ci tiene alla privacy così tanto, mi sa che l'unica soluzione per te è Qubes OS.

Il problema di Firejail è che bisogna studiarselo e costruire dei profili adeguati al proprio caso. Inoltre è integrato in Apparmor, per cui è opportunato usarlo con Ubuntu e similari. E, che io sappia, il pacchetto Firejail distribuito con Ubuntu è già configurato per l'uso ottimale con le applicazioni più comuni ( Firefox in primo luogo ).

grazie,
ma infatti io ho preso e lanciato ff con le impostazioni di default senza cliccare nulla, magari è un problema del mio SO, ma gli altri sw partono.

la sandbox non credo sia principalmente correlata ad una questione di privacy e per quanto mi riguarda, su windows è molto userfriendly (tanto da non considerarmi fissato, visto che manco uso AV real time di terze parti), c'è un'impostazione molto intuitiva per scegliere se cancellare tutto alla chiusura del sw e a cosa farlo accedere.

me lo leggerò grazie

 

[pabloski]

grazie,
ma infatti io ho preso e lanciato ff con le impostazioni di default senza cliccare nulla, magari è un problema del mio SO, ma gli altri sw partono.

Il punto è che Firejail è un progetto indipendente, non facente parte di nessuna distribuzione o ambiente desktop tra quelli più grossi.

E infatti Redhat, che è quella che di fatto comanda nel mondo Linux, ha aggiunto il sandboxing a Flatpak. Cioè, per loro, è questa la tecnologia da usare, non Firejail.

Se guardi l'immagine postata ieri da EmanueleC, noterai che, da Gnome, c'è un pannello di controllo per ognuna delle applicazioni Flatpak. E da lì è possibile fare quelle dicevi prima, cioè attivare/disattivare la persistenza di dati, plugin e quant'altro. Quando parla di "directory" home, root, ecc... si riferisce proprio a questo.

Puoi stabilire che, per esempio, la directory dove vengono conservati i plugin sia quella reale, mentre quella della cache sia in ram. O altre combinazioni. Ma ovviamente bisogna configurarlo ( dove dice "Altri file" ). Di default si presenta come mostrato nello screenshot. Ed è una configurazione tipica ( quella che interessa la maggior parte degli utenti ). E ognuna delle opzioni si può attivare/disattivare alla bisogna.

Firejail è comodo perchè è facile fare tutto da riga di comando. Basta passargli i parametri giusti. Ma ovviamente richiede una certa conoscenza delle opzioni disponibili e di cosa fanno. Il che è un bene, perchè non puoi sapere dietro l'opzione pippo di sandboxie cosa si nasconda per davvero. Per esempio, tu vedi che non conserva i plugin e la cache, ma non sai se è perchè li tiene in ram o li mette su disco. E se li mette su disco, comunque possono essere trovati ( anche dopo la cancellazione ).

 

[PECman]

Il punto è che Firejail è un progetto indipendente, non facente parte di nessuna distribuzione o ambiente desktop tra quelli più grossi.

E infatti Redhat, che è quella che di fatto comanda nel mondo Linux, ha aggiunto il sandboxing a Flatpak. Cioè, per loro, è questa la tecnologia da usare, non Firejail.

Se guardi l'immagine postata ieri da EmanueleC, noterai che, da Gnome, c'è un pannello di controllo per ognuna delle applicazioni Flatpak. E da lì è possibile fare quelle dicevi prima, cioè attivare/disattivare la persistenza di dati, plugin e quant'altro. Quando parla di "directory" home, root, ecc... si riferisce proprio a questo.

Puoi stabilire che, per esempio, la directory dove vengono conservati i plugin sia quella reale, mentre quella della cache sia in ram. O altre combinazioni. Ma ovviamente bisogna configurarlo ( dove dice "Altri file" ). Di default si presenta come mostrato nello screenshot. Ed è una configurazione tipica ( quella che interessa la maggior parte degli utenti ). E ognuna delle opzioni si può attivare/disattivare alla bisogna.

Firejail è comodo perchè è facile fare tutto da riga di comando. Basta passargli i parametri giusti. Ma ovviamente richiede una certa conoscenza delle opzioni disponibili e di cosa fanno. Il che è un bene, perchè non puoi sapere dietro l'opzione pippo di sandboxie cosa si nasconda per davvero. Per esempio, tu vedi che non conserva i plugin e la cache, ma non sai se è perchè li tiene in ram o li mette su disco. E se li mette su disco, comunque possono essere trovati ( anche dopo la cancellazione ).

perdonami ma dai tuoi post precedenti io avevo capito che quello che fa sandboxie (persistenza/non persistenza) lo fa firejail , non flatpak

comunque se siete curiosi di cosa faccia sandboxie, ora è opensource https://www.wilderssecurity.com/threads/sandboxie-technologies-sbie-open-source.428156/

grazie
--- i due messaggi sono stati uniti ---
ps: qubes os non mi serve, ma comunque io sono su un portatile a 32bit

 

[pabloski]

perdonami ma dai tuoi post precedenti io avevo capito che quello che fa sandboxie (persistenza/non persistenza) lo fa firejail , non flatpak

Ed era così ( ti parlo di un paio d'anni fa ). Invece vedo dallo shot postato da EmanueleC, che hanno aggiunto la possibilità di mappare arbitrariamente qualsiasi parte del filesystem.

La differenza è che Firejail ha una semplice opzione per fare quello che con Flatpak richiede una serie di azioni. Altra questione è che, con Firejail, ti basta chiamarlo specificando quell'opzione ed è fatta. Con Flatpak deve andare a modificare quelle voci che vedi nello screenshot.

Siccome entrambi usano i namespace, di fatto funzionano pure allo stesso modo.

 

[PECman]

Ed era così ( ti parlo di un paio d'anni fa ). Invece vedo dallo shot postato da EmanueleC, che hanno aggiunto la possibilità di mappare arbitrariamente qualsiasi parte del filesystem.

La differenza è che Firejail ha una semplice opzione per fare quello che con Flatpak richiede una serie di azioni. Altra questione è che, con Firejail, ti basta chiamarlo specificando quell'opzione ed è fatta. Con Flatpak deve andare a modificare quelle voci che vedi nello screenshot.

Siccome entrambi usano i namespace, di fatto funzionano pure allo stesso modo.

Ah ok grazie
E infatti avevi scritto che firejail, per interfaccia grafica mi pareva più user friendly e simile a sandboxie per comodità d’uso.

Alla fine basta che mi apra chromium e lo fa, devo solo studiarmi come toglierei la persistenza e sono a posto

Grazie

 

[pabloski]

Alla fine basta che mi apra chromium e lo fa, devo solo studiarmi come toglierei la persistenza e sono a posto

Se usi chromium, vedo scarsa utilità nell'usare firejail e similari, quando c'è la modalità incognito. Se confronti firejail con la modalità incognito, noterai che l'unica cosa che incognito non fa è eliminare automaticamente le estensioni installate.

 

[PECman]

Se usi chromium, vedo scarsa utilità nell'usare firejail e similari, quando c'è la modalità incognito. Se confronti firejail con la modalità incognito, noterai che l'unica cosa che incognito non fa è eliminare automaticamente le estensioni installate.

ma in chromium devo andare ogni volta in chrome:// se ho capito bene

 

[pabloski]

ma in chromium devo andare ogni volta in chrome:// se ho capito bene

??

Vai sull'icona di Chromium, tasto destro del mouse, c'è scritto "Nuova finestra" e "Nuova finestra di navigazione in incognito". La prima è quella normale, la seconda è l'incognito.

 

[EmanueleC]

mi è chiaro, ma @pabloski ha specificato (e lo avevo intuito anche io guardando il tuo post) che flatpak non ha modalità stateless e io non voglio una cosa sempre in sandbox. forse mi sono spiegato male ma io voglio questo: clicco su sandboxie o altro sw, mi apre il browser, chiudo e tutto quello che ho fatto viene perso, non deve restare: se si installa un keylogger(o altro sw, per dire una cosa a caso), non mi frega nulla che sia nella sandbox se può continuare a carpirmi i dati ogni volta che riapro il browser perchè è rimasto dopo che ho chiuso.

intanto ho installato i pacchetti di firejail, quindi penso tutto quello che serve a farlo funzionare e ho già notato che ff non funziona, cioè qualsiasi cosa clicco nel menù non si apre, manco la ricerca va. gli altri sw si.
però ho visto che mi apre chromium in mod non incognito e se lo chiudo e riapro con firejail non ha concellato la crono, quindi devo capire come si fa ad impostarlo in modalità stateless come diceva @pabloski e dal configuration wizard non sembra chiaro, nè ci sono video sul sito che lo spieghino.

ecco però non c'è nessuna grafica che faccia capire che un sw è aperto in firejail, sandboxie ti incornicia le sue finestre di giallo.

provate sandboxie così vi rendete conto

Forse non ti è chiaro il concetto di sandbox o forse vuoi solo fare quel che fa sandboxie. Un APP in sandbox è limitata e non ha accesso all'intero filesystem e risorse hardware, quindi anche se becchi un malware o altro, non ha i permessi per diffondersi e fare danni al PC host se non alle risorse dove hai dato i permessi, ad esempio se un di un APP non ti fidi, lo limiti solo a una cartella e non alla home o ai dischi esterni, cosi mal che vada non tocca i tuoi dati.
Per questo ci sono i "portali", dove l'APP di default non ha i permessi per accedere a nessun file, ma puoi dargli un permesso momentaneo con il selettore file.
Inoltre, Ubuntu, Fedora hanno già molti profili AppArmor e SELinux abilitati.
--- i due messaggi sono stati uniti ---

ma in chromium devo andare ogni volta in chrome:// se ho capito bene

Inoltre se hai Chromium su Ubuntu, sicuramente è la versione snap, snap è in forte sandbox.

 

[PECman]

??

Vai sull'icona di Chromium, tasto destro del mouse, c'è scritto "Nuova finestra" e "Nuova finestra di navigazione in incognito". La prima è quella normale, la seconda è l'incognito.

ascolta come mettere la mod incognito lo so e senza entrare n dettagli che non mi competono, non fa la stessa cosa di sandboxie (questo è poco ma sicuro)che per altro dai primi messaggi mi pare aveste chiaro come funzionasse anche voi.

non parliamo più di mod incognito perchè almeno su windows mod icognito e sandboxie sono due cose diverse, altrimenti non la usarebbe nessuno.

grazie comunque
--- i due messaggi sono stati uniti ---

Forse non ti è chiaro il concetto di sandbox o forse vuoi solo fare quel che fa sandboxie. Un APP in sandbox è limitata e non ha accesso all'intero filesystem e risorse hardware, quindi anche se becchi un malware o altro, non ha i permessi per diffondersi e fare danni al PC host se non alle risorse dove hai dato i permessi, ad esempio se un di un APP non ti fidi, lo limiti solo a una cartella e non alla home o ai dischi esterni, cosi mal che vada non tocca i tuoi dati.
Per questo ci sono i "portali", dove l'APP di default non ha i permessi per accedere a nessun file, ma puoi dargli un permesso momentaneo con il selettore file.
Inoltre, Ubuntu, Fedora hanno già molti profili AppArmor e SELinux abilitati.
--- i due messaggi sono stati uniti ---

Inoltre se hai Chromium su Ubuntu, sicuramente è la versione snap, snap è in forte sandbox.

assolutamente si, senza offesa, è dal primo post che voglio solo una cosa semplice che faccia quello che fa sandboxie e sì, mi è chiaro che una sandbox non ha accesso a tutto, è pure facile da vedere in sandboxie, dove, in particolare se apri una sandbox senza i permessi di admin, ma lo puoi impostare anche tu smanettando, ti si aprono i pop up con scritto che questo non lo puoi fare o non ha accesso a quello.
ma io voglio che tutto quello che faccio, una volta avviata la sandbox, oltre a restare nella sandbox, una volta che la chiudo, venga cancellato, è dal primo post che dico solo questo, senza offesa e grazie

ho lubuntu,
--- i due messaggi sono stati uniti ---
vi faccio un altro esempio chiarificatore @EmanueleC @pabloski : io in una sandbox di sandboxie posso, con i dovuti permessi, installare un sw, tipicamente un browser, provarlo, chiudere la sandbox e quel sw non risulta più installato in windows (ma anche durante l'installazione non risulta manco installato in pannello di controllo -> programmi installati, in realtà)

 

[EmanueleC]

ascolta come mettere la mod incognito lo so e senza entrare n dettagli che non mi competono, non fa la stessa cosa di sandboxie (questo è poco ma sicuro)che per altro dai primi messaggi mi pare aveste chiaro come funzionasse anche voi.

non parliamo più di mod incognito perchè almeno su windows mod icognito e sandboxie sono due cose diverse, altrimenti non la usarebbe nessuno.

grazie comunque
--- i due messaggi sono stati uniti ---


assolutamente si, senza offesa, è dal primo post che voglio solo una cosa semplice che faccia quello che fa sandboxie e sì, mi è chiaro che una sandbox non ha accesso a tutto, è pure facile da vedere in sandboxie, dove, in particolare se apri una sandbox senza i permessi di admin, ma lo puoi impostare anche tu smanettando, ti si aprono i pop up con scritto che questo non lo puoi fare o non ha accesso a quello.
ma io voglio che tutto quello che faccio, una volta avviata la sandbox, oltre a restare nella sandbox, una volta che la chiudo, venga cancellato, è dal primo post che dico solo questo, senza offesa e grazie

ho lubuntu,

Allora vuoi sandboxie e su Linux non è disponibile, quindi se vuoi per forza quel software, usa Windows + sandboxie. Tu vuoi usare Linux come se fosse Windows, con tutti i suoi difetti, ma su Linux hai altri strumenti per fare quello che fai su Windows e a volte anche meglio e pronte all'uso.

 

[PECman]

Allora vuoi sandboxie e su Linux non è disponibile, quindi se vuoi per forza quel software, usa Windows + sandboxie. Tu vuoi usare Linux come se fosse Windows, con tutti i suoi difetti, ma su Linux hai altri strumenti per fare quello che fai su Windows e a volte anche meglio e pronte all'uso.

ho aggiunto questo pezzo poi

vi faccio un altro esempio chiarificatore @EmanueleC @pabloski : io in una sandbox di sandboxie posso, con i dovuti permessi, installare un sw, tipicamente un browser, provarlo, chiudere la sandbox e quel sw non risulta più installato in windows (ma anche durante l'installazione non risulta manco installato in pannello di controllo -> programmi installati, in realtà)

a me sembra di capire che tra le varie opzioni che mi proponete manchi solo che tutto ciò che ho aperto nella sandbox venga cancellato alla chiusura della sandbox stessa, il che non mi sembra una cosa assurda da immaginare per linux
--- i due messaggi sono stati uniti ---
anzi perdonatemi, avete detto che c'è modo di disattivare una qualche persistenza delle mdifiche fatte al sw, solo che è meno immediato di sandboxie, ma proverò, grazie

 

[EmanueleC]

ho aggiunto questo pezzo poi



a me sembra di capire che tra le varie opzioni che mi proponete manchi solo che tutto ciò che ho aperto nella sandbox venga cancellato alla chiusura della sandbox stessa, il che non mi sembra una cosa assurda da immaginare per linux
--- i due messaggi sono stati uniti ---
anzi perdonatemi, avete detto che c'è modo di disattivare una qualche persistenza delle mdifiche fatte al sw, solo che è meno immediato di sandboxie, ma proverò, grazie

Puoi eliminare la cartella di configurazione che si trova sulla home, del software che usi con flatpak, tutte le configurazioni dei software flatpak si trovano sulla home utente: .var/app/org.mozilla.firefox/, potresti farti uno script all'avvio o chiusura della sessione che elimina quella cartella se non vuoi farlo manualmente. Altra alternativa è usare una live.