Is al eens eerder genoemd, maar kan natuurlijk nooit kwaad het eens te herhalen:
https://www.security.nl/posting/467437/#posting467483
Goede uitleg trouwens. Helaas alleen nog voor .deb-distro's. Rpm zal nog wel eens volgen.

Dank!! Ik heb het geïnstalleerd in Linux Mint 18 en het draait als een zonnetje.
Via een eenvoudige terminal-opdracht kun je de gekozen applicatie in de sandbox laten draaien.
Meer info:
https://firejail.wordpress.com/

Leuk, maar ik zou liever een simpele firewall zien in al die linuxen.
Geen moeilijke firewall's die er nu zijn maar iets in de aard zoals vroeger Zonealarm.

Wil een .mp3, mp4 of .mkv of .jouw-account.pdf het internet op dan verschijnt even een pop-upje met allow of deny
met het IP-adres. Dat kun je mensen op vandaag wel opleggen zodat ze het ook echt snappen.
Ik denk dat je daar meer aan hebt dan aan bijv. Firejail.
Linux is voor mij veilig zat, en ik gebruik de Tor browser met NoScript.

De firewall's op vandaag zijn veel te moeilijk.
Mensen willen iets simpels.

Firejail werkt hier niet onder LMDE Betsy, en ja ik heb het Debian pakketje gedownload.
Ik krijg veel errors in de shell te zien, en heb geen verstand van al die error's.
Na Firejail tools te hebben geinstalleerd werkt het ineens wel, maar ik vertrouw deze tools niet echt.

Geef maar een link of bestand zodat ik kan testen of het echt doet wat het moet doen.

Ik krijg het idee dat jij iets door elkaar haalt: Firejail is geen Firewall maar een Sandbox

Wat je nu probeert, is de thread te kapen, wat niet netjes is. Je snijdt een heel ander onderwerp aan, dan waar
de thread over gaat, zijnde Firejail. Beter is een nieuwe thread te openen met je vraag over een firewall.
Dat kan en mag hier altijd en het is ook nog eens gratis... :)

In z'n algemeenheid kan je bij errors de complete error-tekst in de shell knippen en daarna plakken in het
zoekvenster van je browser. Als je dan de zoekmachine (vooraf) hebt ingesteld op Google, dan krijg je direct
heel veel hits. Google is, wat dat betreft, heel Linux vriendelijk. Dan is het daarna simpel om te lezen en vaak
staat de oplossing er dan ook nog bij.

En waarom zou je deze tools niet vertrouwen, heb je daar een reden voor?

Woopie.

Ja, ik dacht eerst dat het automatisch ging wanneer je de snelkoppeling opent, niet dus jammer genoeg! Je kan wel "firejail" bij de commando toevoegen in de snelkoppeling en dan gaat dat ook, dan heof je niet steeds terminal te openen.

Hallo Woopie,

Ik probeer altijd een stapje vooruit te denken, namelijk het sandboxen word gedaan
om geen malware op je systeem te krijgen door kwaadaardige code die uit een applicatie
kan "ontsnappen" of glippen of hoe je het ook wilt noemen.

Dus gaan we online, of downloaden iets dan willen we er zeker van zijn dat het safe is
en dat er niks raars met een applicatie kan gebeuren. Stel iemand download een kwaadaardige
.pdf dan kan je de pdf reader wel sandboxen zonder echt te weten dat de .pdf kwaadaardig
is of was. Met een simple firewall zie ik tenmiste dat de kwaadaardige .pdf gelijk een connectie
wil maken met internet. Ik weet dus waar de pdf vandaan komt, kan iemand waarschuwen, en kan
hem ook verwijderen. Dus voor mij heeft een simpele firewall meer effect.

In mijn tijd van Windows95 had je ZoneAlarm, die me bijvoorbeeld waarschuwde door middel
van een pop-up > 'Abba - De winner takes it all.mp3' wil een connectie opbouwen met 195.125... blala
Allow of Denie.


M.a.w. je kan je applicaties dus sandboxen, of het kan doormiddels van een firewall die
je waarschuwd wanneer iets online wil.

Ik heb liever een firewall achtige iets omdat ik dan zeker ben wat het is, en waar het
zich op mijn systeem bevind zodat ik het kan verwijderen.

Dus de thread kapen gaat me iets te ver, en vind het ook niet echt netjes dat je het
zegt.

Dan de vetrouwens vraag, als ik alleen Firejail installeer en krijg errors, en vervolgens
installeer ik de GUI Firetool, en dan zijn de errors weg vind ik wel erg vreemd.
Dat veel mensen alles vertrouwen moeten ze tenslotte zelf weten. En als ik alles moet
gaan opzoeken over tools met errors dan kan ik beter zelf gaan coden wat ik dus niet kan.
Het is natuurlijk goed bedoelt van de maker, maar als het voor mij al gelijk niet werkt
dan weg ermee. Verder wil ik ook kunnen testen of zien wat iets doet wat het belooft te
zullen doen. Ik vertrouw namelijk niet heel veel mensen, want ook de bad-guy doet zich
voor als een normaal leuk mens. Vertrouwen is leuk, controleren is beter.


Je kan ook Sandboxie downloaden onder Wine wat ook werkt.
Of vertrouw jij 'Wine' niet? Zo niet vertel dat de makers van Wine dan maar eens.

Maar je wilt dus iets veiligere te zijn toch? Installeer dan maar even het Qubes O.S
https://www.qubes-os.org/.
Bij Qubes draait iedere applicatie ook in zijn eigen omgeving. Maar Qubes is wel vele
malen veiliger dan wat je nu draait.

M.a.w. je systeem is 100% safe of is het gewoon NIET. Een black-hat heeft maar een gaatje
nodig om bij jouw binnen te komen. Of vertrouw je firejail zo erg dat je denkt dat je echt
"De tool" hebt gevonden? Er is niks verkeerds aan dat je hier de tool even voorstelt hoor
en dat waarderen mensen ook, maar het is gewoon wat is nog 'safe'? Maar je bedoelt gewoon
'safer' toch. Echter denk hier maar eens GOED over na > Is safer" ook wel safe?
Of ga je niet voor 100% veilig maar laat je de kraan duppelen?

Het is maar hoe ver je wil gaan, en je zegt "Als je Firejail hebt geinstalleerd dan hoef je
al zeker niet verder te twijfelen of een antivirus wel of niet nodig is voor linux"

Met Tor en Noscript onder Linux is het bezonder moeilijk om een stukje malware op je
systeem te krijgen. Terwijl de meeste Linux gebruikers al zeggen "Virusje onder Linux
bijna onmogelijk, je hebt zelfs geen antivirus nodig. En ja tuurlijk kan het, maar dan moet
je wel hele rare dingen gaan doen toch? Daarbij is de meeste malware ook nog eens gericht
op Windows systemen en ben je niet ingelogt onder Root.

Dankjewel voor de tip, ik ga onmiddelijk installeren.

Bedankt, firejail werkt perfect onder linux mint serena

Ik hou het wel bij Docker, werkt zowel voor de apt als rpm distro's.

Al eens naar shorewall gekeken?

Kijk wel uit met Firejail dat het setuid(2) bit zet en dus een gevaar kan zijn.
Met name als je ook nog eens noroot optie gebruikt ( unprivileged user namespace ) kan dat misbruikt worden om een escalatie tot root ( privilege escalation ).
Het beste kan je eigen kernel compilen en veel onnodige modules en opties weghalen wil je echt veiliger zijn dus ook die user namespaces uit de kernel gooien ( CONFIG_USER_NS ) en grsecurity patches gebruiken wil je .
Laatste vulnerabilities waren ook door die user namespaces omdat het een zooitje is.
Wine en Sandboxie gebruiken is sowieso een groter risico en QubesOS heeft z'n eigen problemen met Xen en PV VMs.
En nog even hierboven over firewalls, een kwaadaardige pdf kan je systeem pwnen en je firewall uitzetten.
Dat is niet zo heel moeilijk als je een mainstream compiled kernel gebruikt omdat elke user modules kan laden en vaak CONFIG_USER_NS aanstaat dus genoeg mogenlijkheden om je systeem compleet te ownen.
Afin je moet een keuze maken tussen praktisch en veilig, zodat je nog wel kan werken en niet alleen maar bezig bent met het beveiligen van je computer.
Firejail zal vast scriptkiddie dingen blokkeren en malware / ransomware als je in een firejail shell zit kan het meestal ook niks als je noexec /home/ en noexec /tmp in config heb.

Het is inderdaad een mooie oplossing die me doet denken aan de jails voor FBSD zo'n 15 jaar geleden. Daar kon je niet alleen userland apps, maar de hele root inclusief. kernel in een jail draaien. Nauwelijks overhead dus ideaal voor virtualization (zeker in die tijd).


Just my 2 cts

Ron

Gufw Firewall
https://gufw.org/

Een zeer gebruikersvriendelijke manier om je Ufw firewall onder Linux in te stellen. Een grafische schil.