Manjaro: AUR Pakete mit gutem Gewissen installieren (Sandboxing/Firejail)

Hi,

ich habe mich heute mal neu in diesem Forum angemeldet.

Natürlich habe ich auch direkt eine Frage mitgebracht.

Ich bin vor kurzem wieder auf die Linux Distribution Manjaro umgestiegen.
Mir gefällt Manjaro sehr gut und die AUR Pakete sind einfach super praktisch
Das Problem worauf ich letztens hingewiesen wurde ist, dass so ganz einfach schadhafte Software installiert werden könnte. Ein Freund meinte ich solle entweder auf AUR verzichten, oder eine andere Distribution nutzen. Ich kann diesen Aspekt mit der Sicherheit sehr gut nachvollziehen. Daher suche ich nach einem einfachen Weg mich dagegen zu schützen und die Rechte der AUR Pakte etwas herabzusetzen.

Ich habe schon firejail gestestet und folgende Struktur angelegt:
/home/alica/firejail/[App]/
Darin habe ich die extrahierten Paketdateien kopiert und den einen .desktop launcher erstellt der das Programm da so startet: firejail --private=/home/alica/firejail/spotify
Leider funktioniert das nicht bei allen Programmen, da viele wichtige Dateien in /usr/share oder ähnlichen Verzeichnissen liegen und ich keine Möglichkeit gefunden habe ein persistentes OverlayFS darauf mit firejail anzuwenden. :-\

Naja wie dem auch sei, ich hoffe es gibt einen deutlich angenehmeren Weg AUR Pakete sicher zu installieren.
Ich bin offen für Vorschläge

Hi und willkommen in der wunderbaren Welt von Arch Linux und dessen Derivaten

Wenn du dir die PKGBUILD ansiehst, solltest du überprüfen, ob die Paketquellen auch von der Entwicklerseite des jeweiligen Programms downgeloaded werden. Dann sollte eigentlich alles i.O. sein und das Sicherheitsrisiko schon mal geringer. Hast du schon den ArchWiki Artikel zu firejail gelesen? Es sieht so aus, als könntest du die Pakete ganz normal installieren und müsstest sie danach nur noch mit firejail ausführen.

kiffmet schrieb:

Wenn du dir die PKGBUILD ansiehst, solltest du überprüfen, ob die Paketquellen auch von der Entwicklerseite des jeweiligen Programms downgeloaded werden. Dann sollte eigentlich alles i.O. sein und das Sicherheitsrisiko schon mal geringer.

Zum Vergrößern anklicken....

Bei der Gelegenheit kann man auch gleich die Quersumme der runtergeladenen Pakete mit den Originalen vergleichen. Ich sehe kein gesteigertes Risiko, wenn man so vorgeht.

Hi, hätte nicht gedacht, dass so spät noch jemand da ist.

@kiffmet
mmh, auf der Seite werden nur bereits installierte Pakete und Dienste in der Sandbox gestartet. Bei der Paketinstallation können aber auch Autostartdateien oä. installiert werden, sodass das Programm letztendlich doch nicht in der Sandbox gestartet wird.

@fax668
Das Problem hier ist, dass man dies bei jedem Update prüfen müsste. Das könnte bei vielen Paketen doch relativ Zeitaufwendig werden. Der zweite Punkte ist, dass evtl. ClosedSource Software, welche nicht direkt vollständige Nutzerrechte kriegen soll installiert werden kann.


Mmmh, scheint echt ein schwieriges Thema zu sein, jetzt weiß ich warum meine Recherchen nichts ergeben haben

Alica_384 schrieb:

Bei der Paketinstallation können aber auch Autostartdateien oä. installiert werden, sodass das Programm letztendlich doch nicht in der Sandbox gestartet wird.

Zum Vergrößern anklicken....

Wenn du die Pakete mit Yaourt installierst, wirst du gefragt, ob du dir den Paketinhalt ansehen willst - dort kannst du überprüfen, ob Autostartdateien darin sind. Wenn ich mich recht entsinne, kannst du auch die .install einsehen - damit sollten die Skripte, die evtl bei der Installation ausgeführt werden auch abgedeckt sein.

Ich hab mich nicht wirklich mit dem Thema Sandboxing befasst auf Arch, darum kann ich dir leider keinen besseren Rat geben. Prinzipiell denke ich aber, dass Arch von Haus aus schon etwas sicherer ist, als beispielsweise Ubuntu - zum einen wegen dem rolling-release Modell, zum anderen weil man, wenn man auf deb/rpm basierten Distros eine andere Software installiert, einfach eine Repo hinzugefügt wird, der dann vertraut werden muss. Die Möglichkeiten der Kontrolle bei der Installation von Drittsoftware, wie es sie in Arch gibt, sind also in solchen Distros gar nicht vorhanden.

Weiters weiß ich leider nicht, welche Programme du genau verwenden willst, aber du hast Spotify als Beispiel genannt. Suche mal "spotify xdg-app" oder "spotify flatpak" auf Google. Wenn das Sandbox-Modell von flatpak(=xdg-app) für dich in Frage kommen würde, wäre das eine Möglichkeit, weil es unter Arch unterstützt wird. Flatpak Programme kommen mit einer eigenen Runtime und werden (wenn ich mich nicht täusche) gesondert vom AUR installiert. Das sollte diverse Abhängigkeitsprobleme, wie zum Beispiel mit Inhalten von /usr/share, verhindern, aber auch hier entfällt ein gewisser Grad an Kontrolle.

Ich weiß nicht, ob du sensitive Daten am PC hast, dass solche Sicherheitsmaßnahmen zwingend erforderlich sind, aber an sich würde ich einfach alles aus dem AUR installieren, was benötigt wird, dabei auf die Sandbox verzichten und danach einfach mal ein bisschen den Netzwerktraffic mitschneiden mit Wireshark bzw mit top als root die laufenden Prozesse sichten und von systemctl die aktiven Services anzeigen lassen - sind all diese Sachen unauffällig, sollte es mit hoher Wahrscheinlichkeit kein Problem geben.

Eine weitere Möglichkeit wäre, einen anderen Benutzer anzulegen und die Programme im Kontext des anderen Benutzers auszuführen, um so einen Lese- und Schreibzugriff auf deinen eigenen Benutzerordner zu verhindern.

Was dich eventuell auch interessieren könnte, wäre NixOS, ein Linux, welches automatisch alle installierten Programme von einander isoliert und es dir erlaubt, Programme für einzelne Benutzer, anstatt systemweit zu installieren. Hier ist die Sandbox quasi per Konzept mit drin. NixOS muss man halt leider lernen, da es sich drastisch von anderen Linux Distros unterscheidet.

Ja, das ist ein ziemlich langer Post mit vielen verschiedenen Ideen, aber eventuell ist ja etwas dabei, das dir hilft

@kiffmet
Gute Morgen, Danke für deine tollen Ideen.

Es handelt sich nicht um hochkritische Daten auf meinem PC. Aber sie sollten trozdem nur ungern in fremde Hände fallen, daher habe ich mein System mit LUKS verschlüsselt. Irgendwo ist es ja doch schön etwas Privatsphäre auf dem eigenen Computer zu haben.

Distributionen wie NixOS und QubesOS durfte ich auch schon einmal testen, aber zum Glück brauche ich zurzeit nicht so viel Sicherheit&Anonymisierung.
Somit ist ein reines Desktopsystem doch um ein vielfaches angenehmer zu bedienen.

Die Idee mit Flatpack und einem zusätzlichen Benutzer finde ich auch nicht so schlecht, ist aber mit einigen Abstrichen verbunden.
Docker könnte evtl. auch noch eine Möglichkeit gehen wenn es um Einsperren der Programme geht.

Ach, ich glaube ich werde es erstmal dabei belassen, die AUR Pakete regelmäßig anzuschauen und bei Manjaro bleiben. Dann werde ich mir vlt. einiges anhören müssen falls ich mir Maleware einfange, aber die Chance scheint ja ziemlich gering zu sein.

Ich nutze seit einem Jahr Arch und seine Derivaten und mir ist nichts passiert obwohl ich sehr viel aus dem AUR installiere . Wie oben erwähnt solltest du dir die PKGBUILDS anschauen oder mal bevor du etwas installierst vielleicht im AUR nach den Packet suchen und schauen was andere Leute da kommentiert haben, ob und warum da etwas nicht funktioniert o.Ä.

Ich nutze seit 2009 Arch, seit 2013-2014 auch Manjaro (was ja in Sachen AUR äquivalent ist) und hatte bisher auch noch nie Probleme. Es ist doch kein Arch-spezifisches Problem: Auch unter Ubuntu vertrau ich dem Maintainer einer PPA, wenn ich sie hinzufüge und den GPG/PGP-Schlüssel importiere. Unter anderen Distros sind es eben zusätzliche Paketquellen, auch da muss ich beim Hinzufügen einer Quelle dem Maintainer vertrauen. Das einzige Mehrrisiko beim AUR ist, dass es dort recht viele unterschiedliche Maintainer gibt und nicht jeder Maintainer einen PGP-Schlüssel hinterlegt. Aber ganz ehrlich, wenn jemand kompromittierte Pakete hochladen will, dann kann er sich genauso einfach auf Ubuntus Launchpad anmelden und eine PPA erstellen wie sich im AUR anmelden und Pakete hochladen. Und hat schon irgendjemand nachgeforscht, wer tatsächlich hinter einem gegebenen PGP-Key steckt?.. Der Schreibzugriff aufs AUR erfolgt übrigens ausschließlich via SSH mit einem entsprechenden Key, man in the middle ist also nicht.