[gelöst] Sandbox für Programme statt Betriebssysteme?

[CeFK]

Hallo allerseits,

ich bin vor kurzem auf folgende Seite gestolpert:
http://www.comodo.com/home/internet-sec ... curity.php

Unter "Features" gibt es "Sandboxing". Dieses Tool ist zwar leider nicht für debian, aber ich finde die Idee nicht schlecht, die dahinter steckt.
So wie ich es verstanden habe, kann man mit diesem Programm andere Programme, wie z. B. Firefox davon abhalten z. B. ungewollte Dateien auf die Festplatte schreiben.

Hier also die alles entscheidende Frage:
Gibt es für debian oder *nixe im Allgemeinen irgendetwas derartiges?

Ich meine nicht eine komplette Security-Suite mit allem Möglichen Schnickschnack (iptables hab ich ja schon , sondern eben nur dieses "Sandboxing"-Feature.

Ich habe ein paar Artikel angelesen, die anscheinend zeigen, dass man mit qemu oder vmware sowas ähnliches hinkriegen könnte, wenn man ein komplettes System in der "Sandbox" laufen haben wollte. Aber das kostet einerseits viel Plattenplatz und andererseits ist es Overkill.

Und sobald man jemanden an den PC lässt, der glaubt Online-games wären das einzig sinnvolle, was man damit anstellen könnte, hat man am Ende statt einem verseuchten Host-System eben ein verseuchtes virtuelles System, das einer vollständigen Plättung bedarf ...
Und genau diese Art von Aufwand will ich eigentlich nicht betreiben.

Mein Ziel wäre aber die Beschränkung auf einzelne Programme einzugrenzen, wie beim "Firefox ohne Rechte für Festplatten-Zugriff"-Beispiel.
Geht sowas irgendwie? Bestenfalls mit Bordmitteln?

Grüße und danke schonmal für's Durchlesen

[Meillo]

Spontan fallen mir chroots ein. Aber je nach Programm kann das auch overkill sein.

[CeFK]

Danke, Meillo!

Chroot war das Wort, das mir zum erfolgreichen Suchen gefehlt hat.

[ben.a]

eine virtuelle maschine, in der eine live-session laeuft, sollte doch ganz ok sein. geschwindigkeit ist sicher ausreichend fuer's surfen.

plattenplatz brauchts auch nicht mehr als ein iso (+das bisschen fuer die konfiguration der vm, die ja ohne festplatte sein kann).

[CeFK]

Hmmm .. ok dann schau ich mir qemu vielleicht doch nochmal genauer an .. danke.

[Meillo]

Chroot war das Wort, das mir zum erfolgreichen Suchen gefehlt hat.

Freut mich, vor allem auch, da ich mir gar nicht so sicher war, ob das auch das ist was du wirklich suchst.

Hmmm .. ok dann schau ich mir qemu vielleicht doch nochmal genauer an .. danke.

Vermutlich wird eine virtuelle Maschine einfacher zu konfigurieren sein als eine chroot aufzusetzen.

[CeFK]

Freut mich, vor allem auch, da ich mir gar nicht so sicher war, ob das auch das ist was du wirklich suchst.

Naja .. der beste Fall ist:
Eine möglichst einfache Lösung, um diversen Programmen die Zugriffsrechte möglichst granuliert entziehen zu können. Schön aber nicht zwingend nötig wäre ein kurzer einzeiler, um zu sagen: "Ab jetzt darf - um beim Beispiel zu bleiben - Firefox nicht mehr auf die Festplatte zugreifen, um Dateien schreiben oder gar auszuführen." .. bzw. - wenn man beispielsweise ein debian-image runterladen will - "Jetz darf FF mal kurz wieder eine Datei auf die Festplatte schreiben."

Etwas das einem hilft "kritische" Programme im Zaum zu halten, wie man es situationsbezogen für richtig hält, eben. Weiss nicht, wie ich's besser ausdrücken könnte.

[reox]

unter bsd gibts jails, die eigenlich programme einsperren... kannst ja debian mit bsd kernel installieren dann hast das auch bin leider noch nie dazu gekommen und kenn die jails auch nur vom hören

[ThorstenS]

Wenn du LVM auf deinem System nutzt, könntest du auch mit snapshots arbeiten.
Mach einfach von /home einen snapshot und mounte diesen als /home.
Dann kannst du ausprobieren was du magst, nach dem Löschen des snapshots ist wieder alles roger.