Frage zum richtigen Umgang mit Firejail (am Beispiel von Firefox)

Kronos · 12. September 2020

Hallo zusammen,

ich habe ein kleines Verständnisproblem bei Firejail.

Wenn ich im Terminal den Befehl

Code

firejail firefox

eingebe, bekomme ich folgende Anzeige:

Code

mario@linux:~> firejail firefox
Reading profile /etc/firejail/firefox.profile
Reading profile /etc/firejail/whitelist-usr-share-common.inc
Reading profile /etc/firejail/firefox-common.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-exec.inc
Reading profile /etc/firejail/disable-interpreters.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Parent pid 17379, child pid 17383
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Post-exec seccomp protector enabled
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Child process initialized in 57.06 ms
Error: execute permission denied for /usr/local/bin/firefox
Error: no suitable firefox executable found

Parent is shutting down, bye...

Alles anzeigen

Anhand dieser Ausgabe würde ich jetzt vermuten, das Firejail so nicht mit Firefox funktioniert. Firefox öffnet sich auch nicht dadurch.

Jetzt habe ich aber auch im Anschluss als Root

Code

sudo firecfg

eingegeben, um alle Programme, für die es ein voreingestelltes Firejail Profil gibt, automatisch in der Sandbox zu starten.

Mir wird nach eingabe von

Code

firecfg --list

dann auch bestätigt, das dies geklappt hat (anscheinend auch bei FIrefox):

Code

mario@linux:~> firecfg --list
/usr/local/bin/Xephyr
/usr/local/bin/akonadi_control
/usr/local/bin/akregator
/usr/local/bin/ark
/usr/local/bin/baloo_file
/usr/local/bin/baloo_filemetadata_temp_extractor
/usr/local/bin/cvlc
/usr/local/bin/display
/usr/local/bin/dnsmasq
/usr/local/bin/dolphin
/usr/local/bin/ffmpeg
/usr/local/bin/ffplay
/usr/local/bin/ffprobe
/usr/local/bin/firefox
/usr/local/bin/gimp
/usr/local/bin/gimp-2.10
/usr/local/bin/gwenview
/usr/local/bin/kate
/usr/local/bin/kcalc
/usr/local/bin/keepassxc
/usr/local/bin/keepassxc-cli
/usr/local/bin/keepassxc-proxy
/usr/local/bin/kmail
/usr/local/bin/knotes
/usr/local/bin/konversation
/usr/local/bin/less
/usr/local/bin/libreoffice
/usr/local/bin/lobase
/usr/local/bin/localc
/usr/local/bin/lodraw
/usr/local/bin/loffice
/usr/local/bin/lofromtemplate
/usr/local/bin/loimpress
/usr/local/bin/lomath
/usr/local/bin/loweb
/usr/local/bin/lowriter
/usr/local/bin/mpv
/usr/local/bin/mutt
/usr/local/bin/okular
/usr/local/bin/ooffice
/usr/local/bin/pdftotext
/usr/local/bin/pngquant
/usr/local/bin/qt-faststart
/usr/local/bin/simplescreenrecorder
/usr/local/bin/skanlite
/usr/local/bin/smplayer
/usr/local/bin/soffice
/usr/local/bin/ssh
/usr/local/bin/strings
/usr/local/bin/vlc
/usr/local/bin/w3m
/usr/local/bin/wget
/usr/local/bin/xcalc
/usr/local/bin/youtube-dl

Alles anzeigen

Heißt das jetzt, das Firefox immer in der Sandbox läuft, wenn ich es normal öffne, und nur nicht klappt, wenn ich es über das Terminal versuche?

Oder klappt das jetzt grundsätzlich nicht mit Firefox?!

Danke im Voraus für eure Hilfe!

sterun · 12. September 2020

Wie ich das sehe, sucht firejail im falschen Verzeichnis nach firefox unter /usr/local/bin/firefox.

Wo sich firefox befindet, siehst du mit:

Code

whereis firefox
firefox: /usr/bin/firefox /usr/lib64/firefox /usr/share/man/man1/firefox.1.gz

Das kannst du ändern mit (als Root mit "su"):

Code

ln -s /usr/bin/firejail firefox

Zitat von Kronos

Heißt das jetzt, das Firefox immer in der Sandbox läuft, wenn ich es normal öffne,

Dazu lese hier:

https://wiki.ubuntuusers.de/firejail/

Kronos · 12. September 2020

Danke schonmal für deine Hilfe sterun!

Firefox in der Sandbox öffnen vom Terminal aus klappt aber mit den Vorschläge irgendwie trotzdem nicht (selber Fehler):

Code

mario@linux:~> firejail firefox
Reading profile /etc/firejail/firefox.profile
Reading profile /etc/firejail/whitelist-usr-share-common.inc
Reading profile /etc/firejail/firefox-common.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-exec.inc
Reading profile /etc/firejail/disable-interpreters.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Parent pid 3147, child pid 3148
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Post-exec seccomp protector enabled
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Child process initialized in 58.59 ms
Error: execute permission denied for /usr/local/bin/firefox
Error: no suitable firefox executable found

Parent is shutting down, bye...

Alles anzeigen

Allerdings scheint das automatische öffnen von Firefox in der Sandbox geklappt zu haben, da ich von Firefox aus nicht mehr auf meine PC Daten zugreifen kann und von Dateien sich keine Hyperlinks mehr auf Firefox öffnen lassen.

Also denke ich mal das trotzdem alles ok ist, wobei ich das halt nicht ganz verstehe.

sterun · 13. September 2020

Einmal als Root ausführen:

Code

ln -s /usr/bin/firejail /usr/local/bin/firefox

Anschl. hier posten:

Code

which -a firefox

Starte nun Firefox (ganz normal über dein Startmenü) und poste währenddessen die Ausgabe von:

Code

firejail --list

Kronos · 13. September 2020

Ok:

Code

linux:/home/mario # which -a firefox
/usr/local/bin/firefox
/usr/bin/firefox

Code

linux:/home/mario # firejail --list
2489:mario::/usr/bin/firejail /usr/bin/baloo_file 
3583:mario::/usr/bin/firejail /usr/bin/firefox

Das heißt dann, das es funktioniert, oder?

sterun · 13. September 2020

Code

firejail --list

---zeigt dir, welche Anwendung gerade im "Sandkasten" ausgeführt wird.

Code

ln -s /usr/bin/firejail /usr/local/bin/firefox

...bewirkt, dass Firefox jetzt immer, abgeschottet durch Firejail, ausgeführt wird.

Auch wenn Firefox über das Firefox-Icon gestartet wird.

Zitat von Kronos

Das heißt dann, das es funktioniert, oder?

Ja, sehe ich auch so

Muss aber anmerken, dass ich selbst noch nie mit Firejail gearbeitet habe und mich erst mit deiner Frage mit diesem Thema beschäftigt habe. Kommen noch Fehler oder funktioniert etwas nicht?

Ansonsten kann ich dir diese zwei Links sehr empfehlen:

https://firejail.wordpress.com…entation-2/firefox-guide/

Und:

https://www.kuketz-blog.de/firejail-linux-haerten-teil4/

Kronos · 14. September 2020

Vielen Dank das du dich extra wegen mir damit beschäftigt hast!

Ich denke mal, das jetzt alles soweit funktioniert.

Durch die zwei Seiten, die du verlinkt hast, bin ich auch erst auf das Thema gestoßen!

Aber das hilft auf jeden Fall auch Denjenigen, die die selben Probleme haben.

Für mich ist das Thema damit erstmal erledingt.

Besten Dank (mal wieder ) für deine super Hilfe sterun!

Frage zum richtigen Umgang mit Firejail (am Beispiel von Firefox)

Taskleiste startet nicht

Probleme mit dem Ausdruck von pdf-Dateien über Okular

USB WLAN Sticks für Opensuse?

Neuinstallation leap 15.5: init Prozess scheitert beim Booten - Kernel Panik

Grafik ruckelt beim Filme schauen

MichaRadius

A_Kueb

Kukulkan

vpn

Nidrnox

Teilen

Tags