Browser möglichst sicher betreiben

[sergej2018]

Hey zusammen,

der Webbrowser ist ja bekanntlich das typische Einfallstor für Malware (neben dem Mailclient).
Wie kann ich unter Debian einen Browser möglichst sicher betreiben? Abgesehen von der entsprechenden Konfiguration des Browsers selbst natürlich.
Bisher fällt mir nur ein, den Browser unter einem User mit möglichst wenig Rechten zu starten.
An der GUI angemeldet ist also User A, er öffnet einen Browser, aber dieser wird mit Rechten von User B gestartet.

[inne]

Ja dazu haben wir im Wiki einen Beitrag - den kennst Du?

Welchen Browser verwendest Du?

IMO hat der Chromium sogar ein AppArmor Profile mit dabei. Beim Firefox müsste man das selbst schreiben.

Aber ein separates Benutzerkonto für den Browser ist wohl schon das beste was man tun kann (Wenn man die Einbussen im weiteren Workflow akzeptiert). Das AppArmor Profile könnte dann nur noch gegen evtl. Root-Expoilts(?) absichern.

Was auch noch ganz nett ist: Mit backintime täglich Snapshots vom Browserprofiel anlegen und dann ab und an mit meld vergleichen (in BackInTime hats da einen Aufruf für).

PS: Nicht der Mail-Client selbst im m.M.n. das Einfallstor, sondern die Mails bzw. Anhänge. Dann geht es nämlich weiter zum PDF-Viewer oä.


Aber das ist Alles nur eine Laien Meinung

[pferdefreund]

Bin seit ca 2005 unter LInux im Netz unterwegs - ja auch manchmal auf "dubiosen" Seiten. Habe auch schon mal ne adult.exe im /tmp gefunden usw. Passiert ist bisher allerdings nix. Solange man seine persönlichen Daten nicht auf dem Rechner hat und auch nicht irgendwo engibt - keine Ahnung inwieweit javarscript sowas lesen kann und ggf. unter einem anderen user surft sollte dem "Normalbürger" nix passieren. Ein Porno-Verteilserver würde sich bei mir sowieso nicht lohnen, da der Rechner täglich abends so eine Stunde an ist und der Upload bei meinem Anschluss einfach nur bescheiden ist. Ne Mail mit 2 Bildern braucht da schon mal 5 Minuten.

[sergej2018]

Das mit dem anderen User probiere ich mit Chromium gerade einfach mal aus. Funktioniert nach 5min Einrichtungszeit problemlos
Welchen Gruppen muss ich den User hinzufügen, damit sowas wie youtube klappt? Audio und Video hab ich schon, reicht wohl noch nicht...

[Animefreak79]

Ich führe meinen Browser, wobei es sich in erster Linie um chromium handelt, mittels firejail in einer Sandbox aus. Diese Software ist recht angenehm über Textdateien im Ordner /etc/firejail/ zu konfigurieren, sowhl für chromium als auch für firefox-esr sind vorgefertigte Profildateien mit der Endung .profile vorhanden. Dann habe ich noch einen Scriptblocker installiert, bei chromium ist das ScriptBlock und bei firefox-esr müsste es sich um NoScript handeln... Zusätzlich ein Adblocker wie Adblock Plus ist auch keine schlechte Idee. Dann habe ich es noch so eingestellt, dass nach jedem Neustart der Browsercache gelöscht wird, in dem ich am Ende in die /etc/crontab eingefügt habe:

Code: Alles auswählen

@reboot root rm /home/shinji/.cache/chromium/Default/Cache/*
@reboot root rm /home/shinji/.cache/chromium/Default/Media*/*
@reboot root rm -r /home/shinji/.cache/mozilla/firefox

[geier22]

Ich hab mal hier in einem Banking - Tread was zu firejail geschrieben:
viewtopic.php?f=37&t=167341&hilit=firej ... 5#p1151482

Allerdings würde ich den für das Privat- Banking gewählten DNS-Server von Google austauschen
gegen den von Quad9. Siehe auch hier:https://www.heise.de/newsticker/meldung ... 90741.html

Edit:

Tipps nicht nur für Paranoiker: https://www.privacy-handbuch.de/index.htm

Für Firefox zum Putzen: eCleaner (Forget Button)
Homepage: https://add0n.com/ecleaner.html -->praktisch und effektiv
wird von mir alle paar Minuten gedrückt (außer ich schreibe gerade einen Beitrag--> der wäre dann auch futsch )
Zusammen mit einem funktionierenden PW- Manager für Firefox, stört es auch nicht , das PW öfter eingeben zu müssen.

Da ich ein GUI- Fan bin, und der Meinung bin, dass man bei den heutigen Oberflächen auch ruhig mal ein GUI- Tool
verwenden darf, empfehle ich bleachbit.
Bleachbit kann per Autostart gestartet werden und - wenn man will - das ganze /home löschen
Wie - gesagt - sehr fein und mit Bedacht einstellbar. Aber unendlich effektiv.
Wird als Root - und Normal-User Version installiert.

[sergej2018]

Firejail probiere ich gerade mal aus, aber zwei Dinge irritieren mich.
Gestartet hab ich's mit folgenden Parametern:

Code: Alles auswählen

firejail --private=/home/user/firejail/chromium/ chromium

Nun kann ich aber von Chromium aus (wenn ich ne Download-Location festlegen will) problemlos in meinem Homeverzeichnis rumschnüffeln und dort den Download speichern?
Außerdem läuft Chromium laut ps aux trotzdem unter meinem Usernamen?

[geier22]

Nun kann ich aber von Chromium aus (wenn ich ne Download-Location festlegen will) problemlos in meinem Homeverzeichnis rumschnüffeln und dort den Download speichern?

Das eigene /home ist nur gesperrt, wenn du vorgehst, wie ich beschrieben habe:

Die nächste Stufe wäre dann, den Browser samt Profile in ein eigenes Verzeichnis zu sperren.
Dazu legst du in deinem /home ein Verzeichnis an : ich mache es mal einfach, wie ich es bei mir habe, da ich alle Browser da "eingesperrt" habe:
also z.B. wenn du dich in deinem /home befindest:.

Code: Alles auswählen

~$ mkdir .privat-browser/firefox

Das Verzeichnis kannst du natürlich bennen, wie du willst .Als nächstes rufst du firefox mit folgendem Befehl auf:

Code: Alles auswählen

firejail --private=~/.privat-browser/firefox/   /opt/firefox/firefox -no-remote

Erklärung: das /opt/firefox/firefox ist der Tatsache geschuldet, das ich FF -- direkt von Mozilla beziehe, und der eben bei mir in /opt/firefox zu Hause ist.
Der Rest geht dann quasi automatisch und wird von firejail selbst erledigt, in dem die Programmdateien von FF sowie ein eigenes Profil in dieses Verzeichnis kopiert werden. Firefox sieht von da ab nur dieses Verzeichnis.
Der nächste Schritt wäre dann ihm eine eigene IP sowie einen halbwegs Manipulations- sicheren DNS-Server zu verpassen die Befehlszeile, mit der du dann in Zukunft deinen Firefox aufrufst: dazu wäre dann z.B.

Außerdem läuft Chromium laut ps aux trotzdem unter meinem Usernamen?

Ja unter welchen User sollte er denn sonst laufen?
Ich halte nicht viel davon, für diesen Fall einen eigenen User anzulegen. Das Speichern der adult.exe in /tmp verhinderst du auch mit der von mir
beschriebenen Einstellung. Da der >Browser dann nur in seinem Verzeichnis agiert, samt Cache. Du hast dann auch nur auf das ~/home/.privat/Browser Verzeichnis Zugriff.

Ansonsten sieh dir mal die Profildateien in /etc/firejail an. Dort kannst du ergründen, was das jeweilige Programm darf und was nicht.
Ändern kann man die natürlich mit entsprechendem Wissen auch.

Weitere Lektüre:
https://firejail.wordpress.com/
https://www.kuketz-blog.de/firejail-lin ... ten-teil4/

[sergej2018]

Hm, aber genau so hab ich's doch gemacht?
Mit der Ausnahme, dass es den Befehl --no-remote nicht mehr zu geben scheint.

[geier22]

Wenn ich mit Firefox mit Datei Öffnen in mein /home will sehe ich nur den Ordner download und sonst nix.
andere Verzeichnisse kann ich zwar sehen und teilweise öffnen, aber von FF heraus werden mir lesbare Dateien nur im Browser selbst angezeigt
Kannst du irgendeine Datei in deinem /home sehen?

-- no-remote gibt es nur für die Mozillas

Edit:
Um zu sehen, was da so getrieben wird, kannst du das ganze mal aus der Konsole starten:

Code: Alles auswählen

firejail --private=/home/user/firejail/chromium/ --debug chromium

[sergej2018]

Sehen kann ich jedes Verzeichnis, öffnen kann ich auch jedes Verzeichnis.
Lediglich die darin befindlichen Dateien werden mir dann nicht angezeigt.
Was merkwürdig ist, denn natürlich sitzen die Verzeichnisrechte bewusst so, dass nur mein User Zugriff auf alles hat.

Gerade ausprobiert: Ich kann sogar in die Verzeichnisse schreiben, also etwas dorthin downloaden.
Also das überzeugt mich aber nun in Sachen Sicherheit nun nicht sonderlich...

[geier22]

Dann hast du schlichtweg was falsch gemacht
bitte mal (übrigens: Was erhoffst du dir davon deinen Usernamen in Pfadangaben zu verheimlichen?) :

Code: Alles auswählen

ls -al /home/user/firejail/chromium/ 

[spiralnebelverdreher]

Sehen kann ich jedes Verzeichnis, öffnen kann ich auch jedes Verzeichnis.
Lediglich die darin befindlichen Dateien werden mir dann nicht angezeigt.
Was merkwürdig ist, denn natürlich sitzen die Verzeichnisrechte bewusst so, dass nur mein User Zugriff auf alles hat.

Gerade ausprobiert: Ich kann sogar in die Verzeichnisse schreiben, also etwas dorthin downloaden.
Also das überzeugt mich aber nun in Sachen Sicherheit nun nicht sonderlich...

Hier https://firejail.wordpress.com/document ... asic-usage ist das ganz gut erklärt:

Private mode is a quick way to hide all the files in your home directory from sandboxed programs. Enable it using --private command line option:

Code: Alles auswählen

 $ firejail --private firefox

Firejail mounts a temporary tmpfs filesystem on top of /home/user directory. Any files created in this directory will be deleted when you close the sandbox. You can also use an existing directory as home for your sandbox, allowing you to have a persistent home:

Code: Alles auswählen

 $ firejail --private=~/my_private_dir firefox

Firejail baut um den Browser herum eine Sandbox auf, die deine Verezichnisstruktur nachbildet (aber ohne Files) und die dem Browser Schreibvorgänge dorthin erlaubt (z.B. Cookies setzen). Der Witz dabei ist, dass beim Beenden (aber erst dann!) alles wieder abgeräumt wird.

[sergej2018]

Bitte sehr:

Code: Alles auswählen

Rechner:/user# ls -al /home/user/firejail/chromium/
insgesamt 24
drwx------ 6 user user     8 Jul 21 11:11 .
drwx------ 3 user user     3 Jul 21 11:09 ..
-rw-r--r-- 1 user user  3526 Jul 21 11:10 .bashrc
drwx------ 3 user user     3 Jul 21 11:10 .cache
drwx------ 6 user user     6 Jul 21 11:12 .config
drwx------ 2 user user     2 Jul 21 11:11 Downloads
drwx------ 3 user user    3 Jul 21 11:10 .pki
-rw------- 1 user user 11302 Jul 21 11:14 .Xauthority

Das Schließen des Browsers probiere ich gleich mal aus

Edit: Pfad korrekt angepasst

[Animefreak79]

Sehen kann ich jedes Verzeichnis, öffnen kann ich auch jedes Verzeichnis.
Lediglich die darin befindlichen Dateien werden mir dann nicht angezeigt.
Was merkwürdig ist, denn natürlich sitzen die Verzeichnisrechte bewusst so, dass nur mein User Zugriff auf alles hat.

Was zeigen denn

Code: Alles auswählen

cat /etc/firejail/chromium-common.profile

und

Code: Alles auswählen

cat /etc/firejail/chromium.profile

?

[geier22]

Code: Alles auswählen

Rechner:/user# ls -al firejail/chromium/

Der Zeile entnehme ich, dass du ein Verzeichnis /user im Wurzelverzeichnis hast b.w angelegt hast?
ist mir zu blöd --- Ich bin raus

[sergej2018]

Oh nein, das sieht nur falsch aus.

Das Verzeichnis befindet sich hier:

Code: Alles auswählen

/home/user/firejail/

Die Dateien in /etc/firejail sind unverändert so, wie sie nach der Installation auf Debian aussehen.

Edit:
Also zumindest mit chromium bleiben die heruntergeladenen Dateien in den "falschen" Verzeichnissen auch nach Schließen des Browsers vorhanden.

[sergej2018]

Anhaltspunkt gefunden: Mein Homeverzeichnis liegt auf einem ZFS-Volume.
Wie ihr vllt wisst mountet ZFS - per default - ja immer direkt nach /.
Deshalb sieht es folgendermaßen aus: Es existieren die Verzeichnisse /homeuser und /home/user.
Letzteres ist ein Link auf ersteres.
In /home/user sehe ich tatsächlich nur den Downloads-Ordner. In /homeuser jedoch kann ich die komplette Verzeichnisstruktur sehen.

Problem: Ich könnte das ZVol zwar direkt nach /home/user mounten, dann müsste ich jedoch Anpassungen an diversen Stellen machen, davon möchte ich erstmal absehen.

@geier22: Warum so zickig?

[geier22]

@geier22: Warum so zickig?

Genau aus dem Grund, auf den du jetzt einen Antwort gegeben hast.
Halbe bzw. falsche Infos und dann lass und mal raten

[sergej2018]

Na wenns beabsichtigt geschehen würde, könnte ich dich ja verstehen

Hm, aber so oder so... das dürfte ja keinen Unterschied machen? Die Verzeichnisrechte sitzen trotzdem richtig...

[Animefreak79]

Na wenns beabsichtigt geschehen würde, könnte ich dich ja verstehen

Naja, aber du musst schon zugeben, dass es etwas merkwürdig anmutet, dass du erst jetzt damit rausrückst, dass du deine Homeverzeichnis auf einer Partition mit ZFS-Filesystem liegen hast, oder? Ich benutze, wie geagt, ebenfalls firejail, meine Partition auf der sich /home befindet, ist mit einem stinknormalen ext4-Filesystem formatiert und ich kann mit Ausnahme vom Ordner Downloads kein einziges der anderen Verzeichnisse auch nur sehen. Deshalb meine Frage, wie deine Profildateien in /etc/firejail aussehen... Aber, wer kann denn wissen, dass du wegen ZFS homeuser und /home/user hast? Das ist (persönliche Meinung) schon ein wenig irritierend.

[sergej2018]

Irritierend für euch auf jeden Fall, ja!
Im Betrieb merkt man davon allerdings keinen Unterschied, auch Verzeichnisrechte usw. werden natürlich ganz normal gesetzt.
Insofern glaub ich auch kaum, dass - ZFS hin oder her - das in diesem Fall nen Unterschied macht.

[uname]

Leg die Daten doch in die Ramdisk. Evtl. musst du beim Aufruf des Browsers die Struktur per Skript initialisieren.

[spiralnebelverdreher]

Oh nein, das sieht nur falsch aus.

Das Verzeichnis befindet sich hier:

Code: Alles auswählen

/home/user/firejail/

Die Dateien in /etc/firejail sind unverändert so, wie sie nach der Installation auf Debian aussehen.

Edit:
Also zumindest mit chromium bleiben die heruntergeladenen Dateien in den "falschen" Verzeichnissen auch nach Schließen des Browsers vorhanden.

Ich hab dieses seltsame Verhalten mal kurz für dich gesuchmaschiniert (https://firejail.wordpress.com/features-3/man-firejail/) und dort in einem Blogbeitrag vom 9. Februar 2017 gefunden:

Sorry, there is no support in this moment for user directories located outside /home.

Möglicherweise liegt hier und in der Verlinkung von ZFS von /home/user auf /homeuser die Ursache deines Problems.

[sergej2018]

Guten Morgen,

danke, dass du nachgesehen hast!
Ist natürlich schade, dadurch wird's ja recht unflexibel in der Nutzbarkeit.

Aber wenn ich das richtig verstehe, kann man den Browser ja immernoch mit der Funktion --private verwenden, und hat ihn dann zumindest in einer Sandbox? Dann werden zwar keine Dateien wie Lesezeichen mehr gespeichert, aber zumindest für z.B. Online-Banking hat man dann ja einen recht sicheren Browser.