FoxInAJail – wie man Firefox sicher in einem Jail nutzt

Posted on by Robert Friemer

FreeBSD hat mit den jails ein sehr mächtiges chroot/Container System an Bord, mit dem man das Browsen im Internet auf eine neue Stufe der Sicherheit heben kann.

Firefox in a jail

Ja, mit den jails ist es möglich, Firefox abgegrenzt von dem eigenen System zu betreiben. Das ist nicht sehr schwer, bietet aber einige Vorteile.

Man verbindet sich zu dem jail mit ssh und führt dabei ein X-Forwarding aus,

  • In der einfachen Version kann man den Browser nur mit Passwort öffnen. Wenn man mehr Komfort haben möchte, dann kann man den Zugriff auch über ssh-Keys umsetzen.
  • Ein eigener Browser mit eigenen Settings für Cookies, Passwörter und Sicherheits-Stufen
  • Trennung von dem Host-System bringt Sicherheit, wenn man über das Internet einen Virus oder Malware durch Fly-by einfangen würde. Der Virus oder die Malware ist dann in dem jail und nicht auf dem Hauptsystem.
  • da man mit Bastille, das jail-Tool, das sich hier verwenden möchte auch eine Steuerung für das Erstellen und Vernichten einrichten kann, kann man hier den FoxInAJail auch nur dann aufbauen, wenn man ihn braucht und danach alles wieder löschen. So hinterläßt man gar keine Spuren und eventuelle Viren haben keinen Zugriff auf das Host-System. Dazu werde ich aber einen weiteren Beitrag schreiben.

Als Voraussetzung benötigen wir ein einfaches jail, dass bereits eine IP-Adresse und Zugang zum Internet hat. Auch der ssh-Zugang sollte bereits gegeben sein. Dies setzt einen normalen Benutzer voraus.

Zunächst sollte man sich auf dem jail als Benutzer anmelden und zum root wechseln.

Nun aktivieren wir im sshd das X-Forwarding, in dem wir die Datei /etc/ssh/sshd_config editieren:

# su -
# edit /etc/ssh/sshd_config

Nun suchen wir die folgende Zeile …

#X11Forwarding no

… und passen diese wie folgt an:

X11Forwarding yes

Diese Einstellungen werden abgespeichert6 und der Service wird neu gestartet:

# service sshd restart

nun kann man die entsprechenden Pakete herunterladen.

  • xorg-minimal
  • xorg-fonts
  • firefox
# pkg install xorg-minimal xorg-fonts firefox

Es dauert eine Weile, bis alle Packages installiert sind. Isr dies abgeschlossen muss man keine weiteren Einrichtungen machen und kann sich von dem jail abmelden.

Um nun den Fox i a jail zu starten muss man nun nur noch folgenden Befehl als einfacher Benutzer auf dem Host aufrufen:

# ssh <Benutzer>@<IP-Adresse des jails> "firefox"

Man muss nun ddas ssh-Passwort des Benutzers angeben und schon öffnet sich ein Firefox-Fenster, das aus dem jail kommt.

Diese Browser kann man nun ganz normal an seine Bedürfnisse mit Themes oder Erweiterungen anpassen. Auch eigene Bookmarks sind möglich.

Was bei diese Version im Moment nicht möglich ist, sind Audio- oder Video-Übertragungen.

Diese Browser dient im Moment einzig dem Betrachten von Internetseiten.

Je nachdem wie performant der Rechner ist, sollte man mit diesem Browser ganz gut Surfen können.

Wenn man nun das Starten vereinfachen möchte, so kann man den ssh-Zugang zu diesem jail mit ssh-keys umsetzen. Wenn man dies umsetzt, dann muss man kein Passwort mehr eingeben.

Robert Friemer

Ich arbeite seit Windows for Workgroups 3.11, mit Linux seit Version 2.0 und mit FreeBSD seit Version 3.8. In der IT habe ich schon so einige Irrungen und Wirrungen kommen und gehen gesehen. Und ist seit einigen Jahren arbeite ich (fast) Windows-los. Der kleine Daemon ist für mich mittlerweile ein treuer und zuverlässiger Begleiter in der IT geworden.

More Posts - Website