Discussion:
Firejail
Add Reply
Matthias Gerds
2024-10-31 23:41:00 UTC
Antworten
Permalink
Hallo,

wie bringe ich Firejail bei, dass Brave-Browser auf einen bestimmten
Ordner schreiben können soll, z.B. den Ordner 'Downloads', der aber
auf einer anderen Platte liegt. Es besteht aber ein Symlink in Form von
${HOME}/Downloads.

Weder
whitelist ${DOWNLOADS}
noch
whitelist ${HOME}/Downloads

im Brave-Profil unter ${HOME}/.config/firejail funktionieren.


M:
Christian Garbs
2024-11-01 10:10:19 UTC
Antworten
Permalink
Mahlzeit!
Post by Matthias Gerds
Hallo,
wie bringe ich Firejail bei, dass Brave-Browser auf einen bestimmten
Ordner schreiben können soll, z.B. den Ordner 'Downloads', der aber
auf einer anderen Platte liegt. Es besteht aber ein Symlink in Form von
${HOME}/Downloads.
Weder
whitelist ${DOWNLOADS}
noch
whitelist ${HOME}/Downloads
im Brave-Profil unter ${HOME}/.config/firejail funktionieren.
Ich kenne firejail nicht, aber mit einem Symlink sollte man nicht aus
einem Jail ausbrechen können, das wäre ja trivial einfach.

Hast Du schon mal ausprobiert, zusätzlich zum Symlink auch das Ziel
des Symlinks ("auf einer anderen Platte") zu whitelisten?

Kann man in firejail debug-Ausgaben aktivieren, welche Zugriffe
konkret abgelehnt werden?

Gruß
Christian
--
....Christian.Garbs....................................https://www.cgarbs.de
this signature has moved
Matthias Gerds
2024-11-01 11:51:56 UTC
Antworten
Permalink
Am Fri, 1 Nov 2024 10:10:19 -0000 (UTC)
Post by Christian Garbs
Mahlzeit!
Post by Matthias Gerds
Hallo,
wie bringe ich Firejail bei, dass Brave-Browser auf einen bestimmten
Ordner schreiben können soll, z.B. den Ordner 'Downloads', der aber
auf einer anderen Platte liegt. Es besteht aber ein Symlink in Form
von ${HOME}/Downloads.
Weder
whitelist ${DOWNLOADS}
noch
whitelist ${HOME}/Downloads
im Brave-Profil unter ${HOME}/.config/firejail funktionieren.
Ich kenne firejail nicht, aber mit einem Symlink sollte man nicht aus
einem Jail ausbrechen können, das wäre ja trivial einfach.
Hast Du schon mal ausprobiert, zusätzlich zum Symlink auch das Ziel
des Symlinks ("auf einer anderen Platte") zu whitelisten?
Ja. Mit der konkreten Adresse des Downloads-Ordners, also á la
whitelist /platte2/Ordner1/Downloads/
geht's auch nicht.
Post by Christian Garbs
Kann man in firejail debug-Ausgaben aktivieren, welche Zugriffe
konkret abgelehnt werden?
Muss ich mal schauen, wo's so etwas gibt, vielleicht auch im Terminal.


M:
Matthias Gerds
2024-11-01 12:33:17 UTC
Antworten
Permalink
Am Fri, 1 Nov 2024 12:51:56 +0100
Post by Matthias Gerds
Am Fri, 1 Nov 2024 10:10:19 -0000 (UTC)
Post by Christian Garbs
Mahlzeit!
Post by Matthias Gerds
Hallo,
wie bringe ich Firejail bei, dass Brave-Browser auf einen
bestimmten Ordner schreiben können soll, z.B. den Ordner
'Downloads', der aber auf einer anderen Platte liegt. Es besteht
aber ein Symlink in Form von ${HOME}/Downloads.
Weder
whitelist ${DOWNLOADS}
noch
whitelist ${HOME}/Downloads
im Brave-Profil unter ${HOME}/.config/firejail funktionieren.
Ich kenne firejail nicht, aber mit einem Symlink sollte man nicht
aus einem Jail ausbrechen können, das wäre ja trivial einfach.
Hast Du schon mal ausprobiert, zusätzlich zum Symlink auch das Ziel
des Symlinks ("auf einer anderen Platte") zu whitelisten?
Ja. Mit der konkreten Adresse des Downloads-Ordners, also á la
whitelist /platte2/Ordner1/Downloads/
geht's auch nicht.
Post by Christian Garbs
Kann man in firejail debug-Ausgaben aktivieren, welche Zugriffe
konkret abgelehnt werden?
Muss ich mal schauen, wo's so etwas gibt, vielleicht auch im Terminal.
Wenn ich im Terminal

firejail google-chrome --whitelist /platte2/ordner1/Downloads/

eingebe, macht der Browser einen neuen Tab auf, in dem steht:

"Zugriff auf die Datei nicht möglich".

Das verstehe wer will.


M:
Sieghard Schicktanz
2024-11-01 19:17:36 UTC
Antworten
Permalink
Hallo Matthias,
Post by Matthias Gerds
firejail google-chrome --whitelist /platte2/ordner1/Downloads/
--------------------------^
Post by Matthias Gerds
"Zugriff auf die Datei nicht möglich".
^^^^^
Post by Matthias Gerds
Das verstehe wer will.
Kategorieverwechslung? Mag der da keine Verzeichnisse sehen, oder
verweigert der da wegen möglichem Schreibzugriff?
--
(Weitergabe von Adressdaten, Telefonnummern u.ä. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ähnlichem)
-----------------------------------------------------------
Mit freundlichen Grüßen, S. Schicktanz
-----------------------------------------------------------
Franz Brannt
2024-11-01 22:56:44 UTC
Antworten
Permalink
Post by Matthias Gerds
Post by Matthias Gerds
Brave-Browser
firejail google-chrome --whitelist /platte2/ordner1/Downloads/
^^^^^^^^^^^^^

***@HP470G9:~$ firejail brave-browser --whitelist /home/nn/Downloads
Warning: an existing sandbox was detected. brave-browser will run
without any additional sandboxing features

Es startet Brave mit einem Tab mit dem Ordnerinhalt von
/home/nn/Downloads, aber ich habe wohl kein firejail und kann
downloaden wohin ich will, z.B. auch nach ~/Documents. Und nun?

***@HP470G9:~$ uname -rms
Linux 5.15.153.1-microsoft-standard-WSL2 x86_64
^^^- ein Problem?
***@HP470G9:~$ cat /etc/issue
Debian GNU/Linux 12 \n \l

alt:

***@HP470G9:~$ snap list
Name Version Rev Tracking Publisher
Notes
brave - 452 latest/stable brave
disabled,broken

***@HP470G9:~$ sudo snap remove brave
2024-11-01T23:08:34+01:00 ERROR cannot remove snap file "brave", will
retry in 3 mins: umount: /snap/brave/452: not mounted.
Remove snap "brave" (452) from the system |error: change finished in
status "Undone" with no error message

***@HP470G9:~$ journalctl -xe
Nov 01 22:23:15 HP470G9 runuser[9639]: pam_unix(runuser:session):
session closed for user nn
Nov 01 22:23:16 HP470G9 systemd[1]: run-snapd-ns-brave.mnt.mount:
Deactivated successfully.
Subject: Unit succeeded
Defined-By: systemd
Support: https://www.debian.org/support
The unit run-snapd-ns-brave.mnt.mount has successfully entered the
'dead' state.
Nov 01 22:23:16 HP470G9 dbus-daemon[1660]: [session uid=1000 pid=1660]
Activating via systemd: service
name='org.freedesktop.Tracker3.Miner.Extract'
unit='tracker-extract-3.service' requested by ':1.4' (uid=100>
Nov 01 22:23:16 HP470G9 systemd[1633]: Starting
tracker-extract-3.service - Tracker metadata extractor...
Subject: A start job for unit UNIT has begun execution
Defined-By: systemd
Support: https://www.debian.org/support
A start job for unit UNIT has begun execution.
The job identifier is 1324.
Nov 01 22:23:16 HP470G9 systemd[1]: Unmounting snap-brave-452.mount -
Mount unit for brave, revision 452...
Subject: A stop job for unit snap-brave-452.mount has begun execution
Defined-By: systemd
Support: https://www.debian.org/support
A stop job for unit snap-brave-452.mount has begun execution.
The job identifier is 1981.
Nov 01 22:23:16 HP470G9 umount[9653]: umount: /snap/brave/452: not
mounted.
Nov 01 22:23:16 HP470G9 systemd[1]: snap-brave-452.mount: Mount
process exited, code=exited, status=32/n/a
Subject: Unit process exited
Defined-By: systemd
Support: https://www.debian.org/support
An n/a= process belonging to unit snap-brave-452.mount has exited.
The process' exit code is 'exited' and its exit status is 32.
Nov 01 22:23:16 HP470G9 systemd[1]: Failed unmounting
snap-brave-452.mount - Mount unit for brave, revision 452.
Subject: A stop job for unit snap-brave-452.mount has finished
Defined-By: systemd
Support: https://www.debian.org/support
A stop job for unit snap-brave-452.mount has finished.
The job identifier is 1981 and the job result is failed.
Nov 01 22:23:16 HP470G9 systemd[1]: snapd.service: Got notification
message from PID 9649, but reception only permitted for main PID 198
Nov 01 22:23:16 HP470G9 dbus-daemon[1660]: [session uid=1000 pid=1660]
Successfully activated service
'org.freedesktop.Tracker3.Miner.Extract'
Nov 01 22:23:16 HP470G9 systemd[1633]: Started
tracker-extract-3.service - Tracker metadata extractor.
Subject: A start job for unit UNIT has finished successfully
Defined-By: systemd
Support: https://www.debian.org/support
A start job for unit UNIT has finished successfully.
The job identifier is 1324.

Wie bekomme ich die snap-brave-Reste weg?
--
FB
Matthias Gerds
2024-11-02 21:51:38 UTC
Antworten
Permalink
Am Fri, 01 Nov 2024 23:56:44 +0100
Post by Franz Brannt
Post by Matthias Gerds
Post by Matthias Gerds
Brave-Browser
firejail google-chrome --whitelist /platte2/ordner1/Downloads/
^^^^^^^^^^^^^
Warning: an existing sandbox was detected. brave-browser will run
without any additional sandboxing features
Es startet Brave mit einem Tab mit dem Ordnerinhalt von
/home/nn/Downloads, aber ich habe wohl kein firejail und kann
downloaden wohin ich will, z.B. auch nach ~/Documents. Und nun?
Dir wird möglicherweise das ganze Dateisystem zum Speichern
angeboten, das heißt aber noch lange nicht, dass der Browser
Deiner Wahl die heruntergeladene Datei auch wirklich
speichert. So ist es jedenfalls bei mir: Ich kann jedes beliebige
Verzeichnis zum Speichern wählen, aber letztendlich WIRD nichts
gespeichert.
Post by Franz Brannt
Linux 5.15.153.1-microsoft-standard-WSL2 x86_64
^^^- ein Problem?
Debian GNU/Linux 12 \n \l
Name Version Rev Tracking Publisher
Notes
brave - 452 latest/stable brave
disabled,broken
2024-11-01T23:08:34+01:00 ERROR cannot remove snap file "brave", will
retry in 3 mins: umount: /snap/brave/452: not mounted.
Remove snap "brave" (452) from the system |error: change finished in
status "Undone" with no error message
session closed for user nn
Deactivated successfully.
Subject: Unit succeeded
Defined-By: systemd
Support: https://www.debian.org/support
The unit run-snapd-ns-brave.mnt.mount has successfully entered the
'dead' state.
Nov 01 22:23:16 HP470G9 dbus-daemon[1660]: [session uid=1000 pid=1660]
Activating via systemd: service
name='org.freedesktop.Tracker3.Miner.Extract'
unit='tracker-extract-3.service' requested by ':1.4' (uid=100>
Nov 01 22:23:16 HP470G9 systemd[1633]: Starting
tracker-extract-3.service - Tracker metadata extractor...
Subject: A start job for unit UNIT has begun execution
Defined-By: systemd
Support: https://www.debian.org/support
A start job for unit UNIT has begun execution.
The job identifier is 1324.
Nov 01 22:23:16 HP470G9 systemd[1]: Unmounting snap-brave-452.mount -
Mount unit for brave, revision 452...
Subject: A stop job for unit snap-brave-452.mount has begun execution
Defined-By: systemd
Support: https://www.debian.org/support
A stop job for unit snap-brave-452.mount has begun execution.
The job identifier is 1981.
Nov 01 22:23:16 HP470G9 umount[9653]: umount: /snap/brave/452: not
mounted.
Nov 01 22:23:16 HP470G9 systemd[1]: snap-brave-452.mount: Mount
process exited, code=exited, status=32/n/a
Subject: Unit process exited
Defined-By: systemd
Support: https://www.debian.org/support
An n/a= process belonging to unit snap-brave-452.mount has exited.
The process' exit code is 'exited' and its exit status is 32.
Nov 01 22:23:16 HP470G9 systemd[1]: Failed unmounting
snap-brave-452.mount - Mount unit for brave, revision 452.
Subject: A stop job for unit snap-brave-452.mount has finished
Defined-By: systemd
Support: https://www.debian.org/support
A stop job for unit snap-brave-452.mount has finished.
The job identifier is 1981 and the job result is failed.
Nov 01 22:23:16 HP470G9 systemd[1]: snapd.service: Got notification
message from PID 9649, but reception only permitted for main PID 198
Nov 01 22:23:16 HP470G9 dbus-daemon[1660]: [session uid=1000 pid=1660]
Successfully activated service
'org.freedesktop.Tracker3.Miner.Extract'
Nov 01 22:23:16 HP470G9 systemd[1633]: Started
tracker-extract-3.service - Tracker metadata extractor.
Subject: A start job for unit UNIT has finished successfully
Defined-By: systemd
Support: https://www.debian.org/support
A start job for unit UNIT has finished successfully.
The job identifier is 1324.
Wie bekomme ich die snap-brave-Reste weg?
Franz Brannt
2024-11-03 20:22:15 UTC
Antworten
Permalink
letztendlich WIRD nichts gespeichert
Doch, war hier so, im Originalverzeicnis, da war keine Sandbox.

Ausserdem:
<https://forum.linuxguides.de/index.php?thread/3288-browser-in-firejail-ein-gute-idee>

Eher keine gute Idee.

speziell:
<https://madaidans-insecurities.github.io/linux.html#firejail>

Loading...