OK, danke für die Info!
Ich war nur etwas unsicher, weil in Beschreibungen dieser Namespaces steht, dass hier eher Schwachstellen des Kernels ausgenutzt wurden /werden, also in dem Fall nicht des Browsers selbst.
Aber an sich auch paradox, man schafft eine solche Funktion, die Sandboxes für höhere Sicherheit ermöglichen soll und wird dann wieder zu einem Sicherheitsrisiko.
Wie gesagt, ich bin leider kein ITler, maximal interessierter Nutzer.
So wie das verstehe, soll Apparmor dabei helfen, Angriffsflächen für Unprivilegierte Benutzer-Namespaces im Kernel zu verringern.
Die Funktion ermöglicht es unprivilegierten Benutzern, innerhalb einer begrenzten Umgebung Administratorrechte (Root) zu erhalten, ohne dass sie erweiterte Rechte auf dem Host-System erhalten.
Angeblich sind hier Schwachstellen im Kernel schon öfter ausgenutzt worden, daher diese diese zusätzliche Absicherung. Und mit diesem Profil, das mitgeliefert wird, gibt es wohl diesen zusätzlichen Schutz nicht.
Kann natürlich sein, dass ich das viel zu eng sehe?
Hallo zusammen!
Ich hatte schon bei Debian 12 eine Meldung beim Starten von Firefox. Dazu gibt es ja diesen Artikel dazu. https://support.mozilla.org/en-US/kb/linux-security-warning
So wie ich das interpretiere, funktioniert die Sandbox von FF nur, wenn ein Apparmor Profil vorhanden ist. Nun ist aber dieses beschriebene Profil ja mehr ein "Placebo" ohne konkrete Schutzfunktion.
Ein solches liefert nun Debian bei Trixie mit, im Gegensatz zu Bookworm.
Wie sehr Ihr das, ist das so dennoch von der Schutzfunktion ausreichend, oder sollte man da eher ein strengeres Profil nutzen?
Leider bin ich, was die Erstellung von solchen Profilen angeht, kein Kenner des Fachs.
Danke im Voraus!
