Bubblewrap schlecht?

Hallo,
ich hab in dem Forum schon häufiger gelesen das Flatpak aus Sicherheitsgründen nicht zu empfehlen ist. Bspw soll die Sandbox vom Flatpak-Firefox schwächer sein als die vom normalen. Das hat mich etwas verwirrt, liegt das jetzt an Bubblewrap oder daran das Flatpak die Sandbox schlecht konfiguriert, Bubblewrap an sich aber ok ist?

Liebe Grüße
anon

So allgemein kann man das nicht sagen. Ob man Programme besser per Flatpak oder per Packagemanager installieren sollte, hängt von ein paar Faktoren ab und ist Abwägungssache. Bei Browsern sollte man es nicht.

Programme mit einer Namespace-Layer-Sandbox sind die Ausnahme. Auf die meisten Programme trifft das nicht zu. Browser gehören da z.B. dazu und sollten nicht als Flatpak installiert werden.

Ja. Die Konfiguration des Seccomp-Filters ist bei der Interaktion von Browsersandbox und Flatpak das Problem. Bubblewrap an sich ist gut.

Weder noch. Flatpak verwendet den selben Seccomp-Filter für alle Programme. Für die meisten ist es gut, dass diese Syscalls geblockt sind und es wäre gut, wenn dieser sogar strikter für einzelne Programme wäre, aber für Programme mit eigener Namespace-Sandbox blockiert er die Erstellung von Namespaces und Chroots.

Danke für die Antwort, das hat einiges erklärt. Das würde also heißen das ich bspw Firefox trotzdem mit Bubblewrap sicherer machen kann wenn ich die Seccomp-Filter richtig einstelle.

Hi!
Bedeutet für mich, dass ich Browser besser aus dem Paketmanager installiere und mir firejail einschließe?

Die Frage ist halt, ob das wirklich einen nennenswerten Nutzen bringt im Vergleich zu den Unannehmlichkeiten die es mit sich bringt. Das Browser-eigene Sandboxing - gerade bei Chromium - ist schon ziemlich gut. Die Bubblewrap-Sandbox würde, da sie den ganzen Browser umfasst, relativ lax sein, dazu kommt noch, dass du sie, da du keine Erfahrung darin hast, höchstwahrscheinlich übermäßig lax machst, vielleicht sogar bekannte Escapes einbaust. Die Browsersandboxen verwenden die gleichen Linux-Funktionalitäten wie Bubblewrap, sandboxt dabei aber einzelne Prozesse wie Renderer, was zu einem deutlich besser angepassten und strikteren Sandboxing theoretisch führen kann und das praktisch auch tut. Wenn ein Angreifer nun das Browsersandboxing überwindet, habe ich so meine Zweifel, ob eine laxe Bubblewrap-Sandbox drum herum noch eine große Hürde ist. Wenn dann würde ich eher MAC (Apparmor, Selinux) verwenden, da andere Technologie, oder gleich in eine VM.

Ja

S.o.

1 „Gefällt mir“

Ich hab noch mal nachgeguckt und jemand hatte geschrieben das ein Programm in eine Bubblewrap Sandbox Zugriff auf Bibliotheken bekommt auf die es normalerweise kein Zugriff hat. Stimmt das?

Stimmt so nicht. Vielleicht meinst du etwas anderes. Könntest du es konkretisieren?

Genauer geht nicht. Ich hab nur das gelesen.

Das Problem um das es in diesem Zitat geht sind „unprivileged user namespaces“ und die Beschreibung des Problems ist, wie ich finde, ein wenig missverständlich. Hier wird es besser erklärt: https://madaidans-insecurities.github.io/linux#kernel. Wenn du diese nicht willst, musst die sie im Kernel abstellen (hat Vor- und Nachteile), oder die Verfügbarkeit, z.B. via MAC, einschränken. Bubblewrap verwendet diese, wenn sie verfügbar sind, wenn nicht kann es auch als SUID-Programm laufen. Bubblewrap verschlechtert aber nicht den Status Quo:

The maintainers of this tool believe that it does not, even when used in combination with typical software installed on that distribution, allow privilege escalation. It may increase the ability of a logged in user to perform denial of service attacks, however.

Danke, für die Antwort jetzt verstehe ich das.