Der SELinux-Spezialist und Red-Hat-Entwickler Dan Walsh hat die Sicherungsmechanismen von Fedora und SELinux etwas aufgebohrt, um eine Desktop-Sandbox zu erstellen, die er "sandbox -X" nennt. Innerhalb der kann man quasi beliebige Desktop-Applikationen starten, die dabei auf dem laufenden System keinen Schaden anrichten können.
SELinux erweitert das herkömmliche Unix-Rechtekonzept um ein rollenbasiertes Rechtemodell, mit dem man prinzipiell verbieten könnte, dass etwa der PDF-Viewer Mails verschickt. Derzeit kommt SELinux allerdings hauptsächlich zum Einsatz, um Server-Dienste abzuschotten.
In der Sandbox gestartet, kann der Browser auf dem System keinen Schaden anrichten.
Dan Walsh will das jetzt ändern und hat für Fedora jetzt eine Desktop-Sandbox entworfen. Damit kann man beispielsweise Firefox in einer isolierten Umgebung starten. Die besteht aus tempoprär erzeugten Verzeichnissen, einem eigenen X-Server – er benutzt dazu Xephyr – und einem speziellen Profil das die zugehörigen Rechte definiert. Der Aufruf muss derzeit noch von Hand erfolgen, beispielsweise mit:
sandbox -X -t sandbox_web_t firefoxsandbox -X ist zwar im für November angekündigten Fedora 12 bereits enthalten, so dass man bereits erste eigene Experimente damit anstellen kann. Bis es so richtig endanwendertauglich wird, dürfte es jedoch noch ein Weilchen dauern. So vergisst die Sandbox bislang jedes Mal alle Einstellungen und auch eine Kommunikation via Copy&Paste mit dem Host-System ist derzeit nicht möglich.
Quelle :
www.heise.de
