Sinds Ubuntu versie 8.04 (anno 2008) is de Linux kernel van die distributie standaard uitgerust met de AppArmor module, wat in wezen een sandbox is. Deze module valt overigens ook goed onder de Debian editie van Linux Mint te installeren.

Het raamwerk van AppArmor past een zogeheten "name-based mandatory access control" vanaf het niveau van de Linux kernel toe. Dat maakt het voor gecompromitteerde programma's bijzonder moeilijk om buiten de pot te pissen.

Het is wel zaak om het meest actuele Firefox AppArmor profiel toe te passen en die ook daadwerkelijk te activeren. Het benodigde Firefox AppArmor profiel wordt onder Ubuntu wel standaard meegeinstalleerd en door Canonical bijgehouden.

Maar het Firefox AppArmor profiel staat / stond onder een standaard Ubuntu installatie als zijnde 'optioneel' niet actief aan.

Dat werd gedaan omdat het AppArmor profiel voor Firefox ook bij sommige betrouwbare websites voor problemen kan / kon zorgen. Daarom moet men het bewuste profiel eigenhandig aanzetten, om te voorkomen dat je jezelf buiten sluit.

Ubuntu AppArmor
https://help.ubuntu.com/community/AppArmor

Met het volgende bash terminal commando valt te controleren of de AppArmor daadwerkelijk is geinstalleerd en of het benodigde Firefox profile wel of niet is geactiveerd:

sudo apparmor_status

Zoals men kan vaststellen, staan onder een standaard installatie van Ubuntu 16.04 (heden) reeds een hele reeks van AppArmor profiles geactiveerd.

Onder Ubuntu kan echter het volgende aa-enforce commando, of een variant daarop, nodig zijn om het firefox-bin AppArmor profiel te activeren:

sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

Met het bovengenoemd status commando kan men vervolgens controleren of het profiel ook daadwerkelijk in de enforce modus is geladen. Als er problemen met AppArmor zijn, dan worden die gelogd in /var/log/kernel.log

grep -e "apparmor" /var/log/kern.log

tail -f /var/log/kernel.log

En nu maar hopen dat de nieuwe sandbox die Mozilla.org voor Firefox maakt minder omslachtig is dan AppArmor en dat die twee elkaar niet bijten. We zullen zien.

Dank je, Poco.

https://en.opensuse.org/SDB:AppArmor

In eerdere postings op Security.nl is ook al eens Firejail als mogelijke sandbox optie genoemd.

Iedereen op Security.nl voor de Kerst veel speelplezier toegewenst in de zandbak.

Apparmor leuk dat je het een fraai tooltjes vindt.
Het echte issue namelijk gebrek aan secùrity awareness door dd os fanaat los je daarmee niet op. Ook in een app domein kun je nog vele aparte functies met veschillende typen beheerders hebben. Dan moet je open staan voor high privileged accounts met aparte maatregelen.

Wat echt strontvervelend is constant die reacties van Linux dit en Linux dat op topics die het nauwelijks raken.
In de praktijk juist vanuit die hoek de ervaring dat er tegengewerkt wordt om een behoorlijke security inrichting voor elkaar te krijgen. Leg het zelf maar eens uit waarom.
De reactie dat ik tegen Linux ben is zo fout wat als wat, probeer er juist van wat te maken. Ik ben tegen de Linux-haters uh data governance haters die onder het mom van een merkje brengen dat er niets aan het handje is.

Misschien kan je de shell-shock nog herinneren. Triest als je naar de root-cause kijkt en dan ziet dat er maar wat snel pleisterwerk gedaan is.

Hoi karma4,

Paul Allen beheert een aantal publiekelijk beschikbare historische computer systemen, waaronder een originele VAX 11/785 waarop OpenVMS 7.3 draait. Zo´n omgeving, dat lijkt mij nu echt iets voor jou! :-)

Verzoek om een login van het Living Computers Museum (http://www.livingcomputers.org/) en probeer eens een echt OpenVMS systeem op de oorspronkelijke hardware uit.