Bonjour,
C’est pas que je soit parano, mais que pensez vous d’utiliser firefox dans une sandbox ?
C’est pour un desktop pour une utilisation professionnel.
Et enfin, comment faire pour mettre cela simplement en place ?
Merci pour vos conseils !
C’est quoi “utiliser firefox dans une sandbox” ?
En gros c’est isoler le programme du reste de l’os… Me demande pas trop je suis pas un expert justement !
Salut
Debian utilise apparmor
Tu peux créer un profile Firefox pour apparmor
Exemple
car ils ne sont pas pressé
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=858174
Tu pourrait m’expliquer, dans les grandes lignes comment fonctionne apparmor? qui m’a embêté d’ailleurs avec libvirt l’autre jour !
Est-ce que ça apporte plus de sécurité d’employer Firejail? Comment se compare-t-il avec AppArmor?
(je dis ça parce qu’avant d’en venir sagement à Debian 9, j’utilisais Ubuntu et j’y avais installé Firejail, que j’ai reconduit ici…)
Merci!
H.
.
Apparmor autorise/interdit l’accès à des dossier pour un exécutable selon ce qui est défini dans son profil
root@debian:~# aa-status
apparmor module is loaded.
56 profiles are loaded.
36 profiles are in enforce mode.
/usr/bin/evince
/usr/bin/evince-previewer
/usr/bin/evince-previewer//sanitized_helper
/usr/bin/evince-thumbnailer
/usr/bin/evince//sanitized_helper
/usr/bin/man
/usr/bin/pidgin
/usr/bin/pidgin//sanitized_helper
/usr/bin/totem
/usr/bin/totem-audio-preview
/usr/bin/totem-video-thumbnailer
/usr/bin/totem//sanitized_helper
/usr/lib/chromium-browser/chromium-browser//browser_java
/usr/lib/chromium-browser/chromium-browser//browser_openjdk
/usr/lib/chromium-browser/chromium-browser//sanitized_helper
/usr/lib/cups/backend/cups-pdf
/usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session
/usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session//chromium
/usr/sbin/apt-cacher-ng
/usr/sbin/cups-browsed
/usr/sbin/cupsd
/usr/sbin/cupsd//third_party
/usr/sbin/tcpdump
libreoffice-senddoc
libreoffice-soffice//gpg
libreoffice-xpdfimport
lsb_release
man_filter
man_groff
nvidia_modprobe
nvidia_modprobe//kmod
thunderbird
thunderbird//browser_java
thunderbird//browser_openjdk
thunderbird//gpg
thunderbird//sanitized_helper
20 profiles are in complain mode.
/usr/bin/irssi
/usr/lib/chromium-browser/chromium-browser
/usr/lib/chromium-browser/chromium-browser//chromium_browser_sandbox
/usr/lib/chromium-browser/chromium-browser//lsb_release
/usr/lib/chromium-browser/chromium-browser//xdgsettings
avahi-daemon
identd
klogd
libreoffice-oopslash
libreoffice-soffice
mdnsd
nmbd
nscd
ping
smbd
smbldap-useradd
smbldap-useradd///etc/init.d/nscd
syslog-ng
syslogd
traceroute
5 processes have profiles defined.
5 processes are in enforce mode.
/usr/sbin/cups-browsed (693)
/usr/sbin/cupsd (677)
/usr/lib/cups/notifier/dbus (778) /usr/sbin/cupsd
/usr/lib/cups/notifier/dbus (779) /usr/sbin/cupsd
/usr/lib/cups/notifier/dbus (780) /usr/sbin/cupsd
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
https://debian-handbook.info/browse/fr-FR/stable/sect.apparmor.html
Donc en gros, mon dossier de travail qui est admettons /media/Bouleau( je travail dans le bois désolé 
) peut facilement devenir inaccessible dans apparmor, pour une appli en particulier !
Je suppose que de bonnes règles peuvent facilement restreindre l’application au strict nécessaire, comme la rendre inutilisable si mal configuré !
merci @grandtoubab
Absolument !
Mais, plutôt, si non finement configuré.
Parce que si je me souviens bien, c’est à toi, d’ajouter en sus au profil par défaut là où tu permets l’accès et avec quels “droits”… Perso, je trouve très (trop ?) délicat à configurer.
1 J'aime