Beveilig uw webverkenner met een zandbak


Terug naar de thuispagina


Inhoud van deze pagina:

Waarom de zandbak van Firejail nuttig is

1. Linux Mint is standaard al erg veilig. Maar met een kleine ingreep wordt uw Linux nóg een flink stuk veiliger. Namelijk door uw webverkenner te draaien in een veilige virtuele zandbak. Want webverkenners (en hun invoegtoepassingen) zijn verreweg de meest aangevallen programma's die er bestaan.

Met behulp van het handige programma Firejail kunt u uw webverkenner op die manier beschermen. Firejail biedt namelijk lichtgewicht-virtualisatie op toepassingsniveau. Vrij vertaald: u kunt uw webverkenner volledig isoleren, zodat hij überhaupt nooit kwaad kan aanrichten in uw gebruikersmap.

Daarmee bent u een stuk beter beveiligd tegen inbraak in uw persoonlijke gebruikersmap (de bestanden die benaderbaar zijn zonder rootrecht). Firejail beschermt tegen kwaadaardige programmatuur die achter uw rug om, akelige dingen met uw persoonlijke bestanden probeert te doen. De kwaadaardige programmatuur kan ongehinderd zijn werk doen, maar.... kan nergens bij.

Want uw webverkenner en de invoegtoepassingen in uw webverkenner, zijn dan geïsoleerd van uw gebruikersmap. Bijna helemaal, want er zijn wel een paar nuttige uitzonderingen, zoals de map Downloads en de eigen instellingen van de webverkenner. Ook de mappen en bestanden van het systeem zijn nog steeds bereikbaar, maar uiteraard als "alleen-lezen".

Verder is Firejail goed ontworpen: het gebruik van Firejail kost slechts weinig extra systeemkracht.

Let op: Firejail kan niet worden gebruikt voor toepassingen die zijn geïnstalleerd als Flatpaks of Snaps. Want die hebben al hun eigen zandbak.

Ik ben het geheel eens met wat Distrowatch over Firejail heeft geschreven: de extra beschermingslaag die Firejail biedt, verhoogt de veiligheid aanzienlijk, kost slechts heel weinig systeemkracht en is bijna zonder moeite te gebruiken.

In de wereld van vandaag, waarin we constant te maken hebben met veiligheidsinbreuken en bezorgdheid over de bescherming van ons privéleven, is mijn mening: waarom zou iemand Firejail niet willen gebruiken? (het volledige Distrowatch-artikel vindt u hier)

Alles heeft natuurlijk zijn prijs, ook al is die klein: het nadeel van deze isolatie is, dat u bijvoorbeeld alleen bestanden bij een e-mailbericht kunt voegen als ze in de map Downloads staan. Want verder is uw webverkenner geïsoleerd van uw gebruikersmap. Ook afdrukken van webpagina's op uw printer, zou hierdoor kunnen mislukken.

Daarom raad ik aan, om deze isolatie te beperken tot de webverkenner-starter in de werkbalk van uw bureaublad. U kunt dan altijd, desgewenst, een "normale" webverkenner starten vanuit het menu.

Voor alle duidelijkheid: de isolatie van Firejail strekt zich niet uit tot de mappen en bestanden van uw besturingssysteem. Want die zijn eigendom van root en dus al genoeg beveiligd door het wachtwoordvereiste voor veranderen of wissen.

U bereikt dit als volgt:

Installeer Firejail

2. Installeren van Firejail gaat als volgt:

a. Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

b. Kopieer en plak daarin de volgende opdrachtregel:

sudo apt-get install firejail

Druk op Enter en tik desgevraagd uw wachtwoord in. In Ubuntu blijft dit geheel onzichtbaar, u ziet zelfs geen sterretjes wanneer u het intikt, dat hoort zo. In Mint is dit veranderd: u ziet wel sterretjes. Druk opnieuw op Enter.

Alternatief: de nieuwste Firejail

2.1. Kijk nu eerst even de versie van uw Firejail na. U kunt de versie van uw geïnstalleerde Firejail nakijken met behulp van de volgende terminalopdracht:

firejail --version

Als u, om wat voor reden dan ook, een nieuwere versie van Firejail nodig heeft (maar waarom?): u kunt desgewenst de nieuwste Firejail hier binnenhalen.

Haal het .deb installatiebestand binnen (niet het .tar.bz2 bestand). Probeer niet om het te installeren via het dialoogschermpje in uw webverkenner (want dat lukt soms niet), maar haal het alleen maar binnen. Ga er daarna naartoe met uw bestandbeheerder en dubbelklik het, alsof het een installatiebestand van Windows is.

Firefox draaien in de zandbak

3. Na de installatie van Firejail start u webverkenner Firefox als volgt op in de zandbak:

Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende opdrachtregel:

firejail firefox

Druk op Enter.

Dat is alles! Firejail heeft redelijke standaardinstellingen voor Firefox, die nauwelijks hinderlijk zijn en toch uw veiligheid flink verhogen. De doorsneegebruiker hoeft aan die instellingen niets te veranderen.

Maar dat is slechts eenmalig; het is natuurlijk lastig om Firefox elke keer zo te moeten starten. Ik raad dus aan om een bureaubladsnelkoppeling te maken die Firefox standaard in de zandbak opstart.

Daarvoor doet u in Linux Mint Cinnamon een rechtsklik met de muis op het pictogram van Firefox in het menu - Toevoegen aan bureaublad. Vervolgens doet u een rechtsklik op de zojuist aangemaakte snelkoppeling op uw bureaublad - Eigenschappen - Opdracht: verander deze in:

firejail firefox %u

In Ubuntu en in andere werkomgevingen dan Cinnamon, moet u de bureaubladsnelkoppeling van Firefox op een vergelijkbare manier bewerken.

Sluit nu alle openstaande Firefoxvensters en klik op de bureaubladsnelkoppeling van Firefox, waardoor Firefox opnieuw start. Firefox zou nu in zandbakmodus moeten draaien.

Om dat na te kijken opent u een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende opdrachtregel:

firejail --tree

Druk op Enter.

Daarmee kunt u nazien of Firefox inderdaad in de zandbakmodus draait.

Herstel een geluidprobleem (PulseAudio) dat wordt veroorzaakt door Firejail

4. Als u Firejail draait, dan zou dat een probleem veroorzaken met het geluid en het afspelen van muziekbestanden. Als u daarmee wordt geconfronteerd, dan verhelpt u dat zo:

Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende serie opdrachtregels (druk telkens op Enter, na elke afzonderlijke opdrachtregel):

mkdir -p ~/.config/pulse

cd ~/.config/pulse

cp -v /etc/pulse/client.conf ~/.config/pulse

echo "enable-shm = no" >> client.conf

Let op: dit is een gebruikersinstelling, dus pas dit toe in elk gebruikersaccount.

Instellingen voor Firefox bekijken en wijzigen (voor gevorderden)

5. Wilt u de instellingen van Firejail voor Firefox bekijken? Die staan in /etc/firejail/firefox.profile

Wilt u iets veranderen in het Firefoxprofiel van Firejail? Doe dat liever niet systeembreed, maar kopieer eerst het systeembrede Firefoxprofiel van Firejail naar uw gebruikersmap. Dat kan met de volgende terminalopdrachten (kopieer en plak ze in de terminal):

Allereerst:

mkdir -v ~/.config/firejail

Druk op Enter.

Daarna:

cp -v /etc/firejail/firefox.profile ~/.config/firejail

Druk op Enter.

Tot slot kunt u zo beginnen met bewerken:

xed ~/.config/firejail/firefox.profile

Druk op Enter.

Dan kunt u veilig experimenteren in het gekopieerde profiel, en blijven uw wijzigingen tenminste ook in stand wanneer u een nieuwere versie van Firejail installeert.

U kunt Firejail ook opstarten met allerlei geavanceerde parameters. Die kunt u nakijken via de terminalopdracht man firejail of op deze webpagina.

Firefox volledig in de zandbak gooien (voor gevorderden)

6. Het is ook mogelijk om de Firefox in uw gebruikersaccount volledig in de zandbak te gooien, ongeacht hoe u hem start. Dat raad ik niet aan, want dan loopt u waarschijnlijk van tijd tot tijd tegen beperkingen aan. Maar als u het toch wil, dan zijn dit de twee terminaltoverspreuken om dat te bewerkstelligen:

Eerst dit (het is één regel):

cp -v /usr/share/applications/firefox.desktop ~/.local/share/applications

Daarna dit (het is één regel):

sed -i 's/Exec=firefox/Exec=firejail firefox/g' .local/share/applications/firefox.desktop

Sluit Firefox en start hem opnieuw.

Ongedaan maken kan zo:

rm -v ~/.local/share/applications/firefox.desktop

Sluit Firefox en start hem opnieuw.

Google Chrome draaien in de zandbak

7. Voor Google Chrome is de isolatie van Firejail minder belangrijk dan voor Firefox. Want Chrome is sowieso al beter beschermd dan Firefox (de ontwikkelaars van Firefox zijn er trouwens mee bezig om dit te verbeteren). Toch is deze ingreep ook nuttig voor Chrome.

Maar als u Chrome toch in de zandbak wilt draaien: na de installatie van Firejail start u Google Chrome als volgt op in de zandbak:

Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende opdrachtregel:

firejail google-chrome-stable

Druk op Enter.

Dat is alles! Firejail heeft redelijke standaardinstellingen voor Chrome, die nauwelijks hinderlijk zijn en toch uw veiligheid flink verhogen. De doorsneegebruiker hoeft aan die instellingen niets te veranderen.

Maar dat is slechts eenmalig; het is natuurlijk lastig om Chrome elke keer zo te moeten starten. Ik raad dus aan om een bureaubladsnelkoppeling te maken waarmee u Google Chrome standaard opstart in de zandbak.

Daarvoor plaatst u eerst een snelkoppeling naar Google Chrome op uw bureaublad. Dat kan in Linux Mint Cinnamon vanuit het menu: Internet - rechtsklik op Google Chrome - Toevoegen aan bureaublad.

Vervolgens doet u in Linux Mint Cinnamon een rechtsklik met de muis op het pictogram van Google Chrome op uw bureaublad - Eigenschappen - Opdracht: verander dit in:

firejail google-chrome-stable %U

In Ubuntu en in andere werkomgevingen dan Cinnamon, moet u de bureaubladsnelkoppeling van Google Chrome op een vergelijkbare manier bewerken.

Sluit nu alle openstaande Chromevensters en klik op de bureaubladsnelkoppeling van Chrome, waardoor hij opnieuw start. Chrome zou nu in zandbakmodus moeten draaien.

Om dat na te kijken opent u een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak daarin de volgende opdrachtregel:

firejail --tree

Druk op Enter.

Daarmee kunt u nazien of Chrome inderdaad in de zandbakmodus draait.

Instellingen voor Chrome bekijken en wijzigen (voor gevorderden)

8. Wilt u de instellingen van Firejail voor Chrome bekijken? Die staan in /etc/firejail/google-chrome-stable.profile

Wilt u iets veranderen in het Chromeprofiel van Firejail? Doe dat liever niet systeembreed, maar kopieer eerst het systeembrede Chromeprofiel van Firejail naar uw gebruikersmap. Dat kan met de volgende terminalopdrachten (kopieer en plak ze in de terminal):

Allereerst:

mkdir -v ~/.config/firejail

Druk op Enter.

Daarna:

cp -v /etc/firejail/google-chrome-stable.profile ~/.config/firejail

Druk op Enter.

Tot slot, als u kladblokje Xed heeft (zo niet, gebruik een ander kladblokje):

xed ~/.config/firejail/google-chrome-stable.profile

Druk op Enter.

Dan kunt u veilig experimenteren in het gekopieerde profiel, en blijven uw wijzigingen tenminste ook in stand wanneer u een nieuwere versie van Firejail installeert.

U kunt Firejail ook opstarten met allerlei geavanceerde parameters. Die kunt u hier nakijken.

Chrome volledig in de zandbak gooien (voor gevorderden)

9. Het is ook mogelijk om de Chrome in uw gebruikersaccount volledig in de zandbak te gooien, ongeacht hoe u hem start. Dat raad ik niet aan, want dan loopt u waarschijnlijk van tijd tot tijd tegen beperkingen aan. Maar als u het toch wil, dan zijn dit de twee terminaltoverspreuken om dat te bewerkstelligen:

Eerst dit (het is één regel):

cp -v /usr/share/applications/google-chrome.desktop ~/.local/share/applications

Daarna dit (het is één regel):

sed -i 's/google-chrome-stable/firejail google-chrome-stable/g' .local/share/applications/google-chrome.desktop

Sluit Chrome en start hem opnieuw.

Ongedaan maken kan zo:

rm -v ~/.local/share/applications/google-chrome.desktop

Sluit Chrome en start hem opnieuw.

Nog meer programma's in de zandbak?

10. De webverkenner is uiteraard het meest nuttig om te beveiligen, want die staat aan de allermeeste gevaren bloot. Maar op dezelfde manier als bij Firefox en Chrome, kunt u nog meer toepassingen in de zandbak gooien.

Daarvoor kunt u het beste eerst even nakijken of Firejail wel een speciaal profiel heeft voor uw specifieke toepassing. Want anders draait Firejail met een generiek profiel, wat problemen kan veroorzaken bij die specifieke toepassing.
De aanwezige profielen staan in /etc/firejail .

Als u een e-mailprogramma als Thunderbird gebruikt of een torrentprogramma als Transmission, dan is het waarschijnlijk een goed idee om ook die te zandbakken met Firejail.

Firejail gebruiken om internettoegang te blokkeren voor individuele programma's

11. U kunt Firejail ook gebruiken om individuele toepassingen internettoegang te ontzeggen. U hebt dan geen ingewikkelde firewall-regels nodig om te voorkomen dat een programma stiekem een internetverbinding legt!

Dat kunt u doen met de optie --protocol=unix. Dit is een voorbeeld voor mediaspeler VLC; kopieer en plak de volgende opdrachtregel in de terminal en druk op Enter:

firejail --protocol=unix vlc

Let op: u kunt ook de optie --net=none gebruiken. Maar die resulteert soms in een programma dat eruit knalt, of in rode foutmeldingen in de terminal. Vandaar dat ik die optie niet aanraad.

De optie --net=none heeft hetzelfde effect als de optie --protocol=unix, maar kan DBUS-functionaliteit verstoren. Het verschil is: in het ene geval ziet het programma het hele netwerk niet eens (en kan er dus ook niet mee verbinden), en in het andere geval ziet het programma het netwerk wel, maar kan het er niet mee verbinden.

 Kortom: gebruik gewoon --protocol=unix.

Tip: wilt u regelmatig een bepaalde toepassing draaien met geblokkeerd internet? Maak er dan gewoon een eigen bureaubladstarter van, waarin dit Firejail-voorvoegsel is opgenomen.

Nog meer tips?

12. Wilt u meer tips en trucs? U vindt er nog veel meer op deze webstek!

Zoals deze:

Maak uw Linux Mint sneller

Maak Linux Mint veilig schoon

Vermijd 10 fatale vergissingen


Op de inhoud van deze webstek is een Creative Commons-licentie van toepassing.

Algemeen voorbehoud en uitsluiting aansprakelijkheid

Terug naar de thuispagina