Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Ja wiem, że tam jest opis tych opcji, choć po przeczytaniu ich pierwszy raz, to niezbyt rozumiałem wtf. xD
Jeśli w głównym profilu firefoxa ustawie PUx dla plugin-container, to nie są generowane żadne eventy, no i flash nie działa. Jak to przestawie na pux, wtedy eventy są ale przy budowaniu profilu mam:
Profiling: /opt/firefox/plugin-container [(S)can system log for AppArmor events] / (F)inish Reading log entries from /var/log/syslog. Updating AppArmor profiles in /etc/apparmor.d. Traceback (most recent call last): File "/usr/sbin/aa-genprof", line 155, in <module> lp_ret = apparmor.do_logprof_pass(logmark, passno) File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2269, in do_logprof_pass read_profiles() File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2594, in read_profiles read_profile(profile_dir + '/' + file, True) File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2620, in read_profile profile_data = parse_profile_data(data, file, 0) File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2915, in parse_profile_data raise AppArmorException(_('Invalid mode %(mode)s in file: %(file)s line: %(line)s') % {'mode': mode, 'file': file, 'line': lineno + 1 }) apparmor.common.AppArmorException: 'Invalid mode pux in file: /etc/apparmor.d/opt.firefox.firefox line: 86'
Podobnie sprawa ma się przy:
# aa-enforce opt.firefox.plugin-container Traceback (most recent call last): File "/usr/sbin/aa-enforce", line 30, in <module> tool.cmd_enforce() File "/usr/lib/python3/dist-packages/apparmor/tools.py", line 139, in cmd_enforce apparmor.read_profiles() File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2594, in read_profiles read_profile(profile_dir + '/' + file, True) File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2620, in read_profile profile_data = parse_profile_data(data, file, 0) File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2915, in parse_profile_data raise AppArmorException(_('Invalid mode %(mode)s in file: %(file)s line: %(line)s') % {'mode': mode, 'file': file, 'line': lineno + 1 }) apparmor.common.AppArmorException: 'Invalid mode pux in file: /etc/apparmor.d/opt.firefox.firefox line: 86'
No to ja nie wiem wtf. xD
Offline
Przecież masz napisane czarno na białym, że skrypty są napisane w Pythonie2, i dlatego na Pythonie3 dają takie śliczne błędy.
A poza tym dziwnego masz tego userspace do AA:
head -n1 `which aa-enforce` #!/usr/bin/perl
head -n1 `which aa-genprof` #!/usr/bin/perl
Wszystkie ważne skryty do AA mam w perlu - i to nie ja je pisałem.
Wersja:
qlist -ICv apparmor sys-apps/apparmor-2.8.4 sys-apps/apparmor-utils-2.8.4 sys-libs/libapparmor-2.8.4
SOA#1
Ostatnio edytowany przez Jacekalex (2015-08-10 20:21:45)
Offline
No tu jest:
# head -n1 `which aa-enforce` #!/usr/bin/python3 # head -n1 `which aa-genprof` #!/usr/bin/python3
To jak to jest, że te skrypty mają być w pythonie 2 a w plikach jest #!/usr/bin/python3 ? xD
Poza tym, tu jest jakaś nowsza wersja:
# dpkg -l | grep apparmor ii apparmor 2.9.2-3 amd64 User-space parser utility for AppArmor ii apparmor-profiles 2.9.2-3 all Profiles for AppArmor Security policies ii apparmor-profiles-extra 1.4 all Extra profiles for AppArmor Security policies ii apparmor-utils 2.9.2-3 amd64 Utilities for controlling AppArmor ii dh-apparmor 2.9.2-3 all AppArmor debhelper routines ii libapparmor-perl 2.9.2-3 amd64 AppArmor library Perl bindings ii libapparmor1:amd64 2.9.2-3 amd64 changehat AppArmor library ii python3-apparmor 2.9.2-3 amd64 AppArmor Python3 utility library ii python3-libapparmor 2.9.2-3 amd64 AppArmor library Python3 bindings
A co do samych błędów jeszcze, to tam się rzuca tylko donośnie tego trybu: Invalid mode pux in file: /etc/apparmor.d/opt.firefox.firefox line: 86' . Te skrypty działają bez problemu, tylko coś to profilowanie przy wywoływaniu innego programu się chrzani i mu nie odpowiada mode.
Ostatnio edytowany przez morfik (2015-08-10 20:36:33)
Offline
Tu masz wyjaśnienie różnicy:
http://wiki.apparmor.net/index.php/QuickProfileLanguage
Wygląda na to, że AA w wersji 2.9.0 jest trochę popieprzony, zobaczymy, czy to bug czy feature, znając ubuntowców pewnie jedno i drugie równocześnie. :D
Offline
A plugin-container przy pux ląduje w swoim profilu, czy leci bez ochrony?
cat /proc/`pidof plugin-container`/attr/current /usr/lib64/firefox/plugin-container (enforce)
U mnie, jak widać, działa ok.
Z resztą jak włączyć logi AA, to ile tego płaczu, że flash nie może na dyziu zapisywać żadnych LSO czy evercookies.... :D
Ostatnio edytowany przez Jacekalex (2015-08-10 21:06:10)
Offline
No u mnie jeśli ręcznie wszystko ustawie bez korzystania z aa-enforce, to też mam taki sam wynik przy pux ale jeśli tylko się zacznę bawić tymi narzędziami, to zaraz błędy lecą.
A tak odnośnie flasha jeszcze, jak tu wyciąć te foldery od ciastek? Bo ja próbuje dodać coś w stylu:
deny owner @{HOME}/.adobe/ r, deny owner @{HOME}/.adobe/** wr, deny owner @{HOME}/.macromedia/ r, deny owner @{HOME}/.macromedia/** wr, deny owner @{HOME}/.config/freshwrapper-data/ r, deny owner @{HOME}/.config/freshwrapper-data/** wr,
I dalej mi zapisuje w ~/.config/freshwrapper-data/ -- to jest ten nowszy flash. W logu nie było żadnego info, że ff czy plugin-container ma jakieś żądania do tych katalogów ale coś tworzy w nich pliki. xD
Ostatnio edytowany przez morfik (2015-08-10 21:51:42)
Offline
Pewnie tak, jak mam ze standardowym flashem:
owner @{HOME}/.adobe/ r, owner @{HOME}/.adobe/** r, owner @{HOME}/.macromedia/ r, owner @{HOME}/.macromedia/** r, owner @{HOME}/.config/freshwrapper-*/ r, owner @{HOME}/.config/freshwrapper-*/** r,
Ostatnio edytowany przez Jacekalex (2015-08-10 22:18:44)
Offline
Już wiem co tu nie działa -- ja mam podlinkowany ten katalog do /tmp/ jak i też parę innych, a tam reguły zezwalają na zapis danych. Sprawdziłem bez linku i blokuje, choć jeśli ten katalog, jak i cała jego struktura, nie jest obecna, wtedy zwyczajnie nie działają filmiki (przynajmniej w paru serwisach). Ja sobie odpaliłem jeden film, tak by zostało wszystko utworzone jak trza i pokasowałem zbędny syf, co wygląda mniej więcej tak:
# tree /home/morfik/.config/freshwrapper-data /home/morfik/.config/freshwrapper-data └── Shockwave Flash ├── CacheWritableAdobeRoot │ └── AssetCache │ └── MVPGTXAU └── WritableRoot └── #SharedObjects └── CSSWEJ2B └── macromedia.com └── support └── flashplayer └── sys 11 directories, 0 files
Dałem te regułki na odczyt tego katalogu i wszystkiego niżej, no i przestało zapisywać pliki a filmiki działają bez problemu, przynajmniej tam gdzie sprawdzałem. No i pełno śmiecia w logu jest. xD
Btw, jak wyłączyć ten syf z logu tak by mi tego nie pokazywał?
Ostatnio edytowany przez morfik (2015-08-10 23:07:38)
Offline
Ja sobie popełniłem przełącznik, używa się go z sudo:
cat `which aalog` #!/bin/bash AUDIT="/sys/module/apparmor/parameters/audit" grep quiet $AUDIT 2>&1 >/dev/null && echo -n normal > $AUDIT || echo -n quiet > $AUDIT; STATUS=`cat $AUDIT `; echo "Status AUDIT zmieniony na $STATUS ;)"; exit 0;
Włącza i wyłącza śmiecenie w logach bardzo grzecznie.
EDIT:
W jakich to serwisach nie odtwarza, jak sobie tych folderów nie założy?
O porntuby nie pytam... :D
Ostatnio edytowany przez Jacekalex (2015-08-10 23:08:41)
Offline
Ja generalnie nie mam nic przeciwko tym komunikatom, jedynie chce usunąć te zbędne ale dalej niech będą pokazywane wszystkie inne jeśli jakiś problem z prawami zaistnieje. xD
A tego flasha dałem tak:
owner @{HOME}/.config/freshwrapper-data/ r, owner @{HOME}/.config/freshwrapper-data/** r, deny owner @{HOME}/.config/freshwrapper-data/** w,
W jakich to serwisach nie odtwarza, jak sobie tych folderów nie założy?
O porntuby nie pytam... :D
No na xhamsterze nie chciało, na pozostałych grało. xD W sumie to na nich tylko testuje, bo ja nigdzie indziej flasha nie mam. xD
Ostatnio edytowany przez morfik (2015-08-10 23:14:18)
Offline
Po co to deny?
Apparmor domyślnie blokuje wsio, pozwala tylko na to, co ma napisane w profilu, deny używa się w wyjątkowych sytuacjach, np do ochrony haseł innych programów, albo kluczy ssh.
Offline
Napisałem takie profile: https://github.com/morfikov/files/tree/master/apparmor-profiles . Tylko te od firefoxa potrzebne ale, że jest załączanych kilka innych to wrzuciłem wszystko co wchodzi w skład.
Generalnie rzecz biorąc, to te profile co dał Jacekalex były strasznie zasyfione -- wiele powtórzeń i odwołania do szeregu nieistniejących plików/katalogów. Ja sobie przejrzałem te dwa profile + ten co jest dołączany do apparmora + jakiś jeszcze znalazłem na necie (z nieodległą datą) i zrobiłem to co widać.
Mam tam tylko dwa pluginy -- vlc i ten nowy flash, choć z vlc praktycznie w ogóle nie korzystam. Z flasha sporadycznie, choć nie mam go na głównym profilu ale ten nowy flash wykorzystuje inne katalogi niż ten stary, dlatego też te stare są wykomentowane. Nie mam javy i jej pluginu, to nie wiem co tam trzeba by dodać. Filmy na yt odtwarza, flash też działa i to bez ciastek i innego syfu. Błędów w logu nie ma (poza tymi ukrytymi). Zdaje się działać normalnie. Tam są włączone wyraźnie tylko te dwie wtyczki ale można też dać cały katalog i automatycznie będą uwzględnianie wszystkie inne, jeśli ktoś ma, choć ja tam wolę wskazać. xD
Nie mam pojęcia po co tam były u Jacekalex'a załączone abstractions/python , abstractions/cups-client i abstractions/consoles -- u mnie bez nich nie ma żadnych błędów. Co ciekawe, plugin-container działa bez abstractions/nameservice i też się nie rzuca i druga uwaga pod adresem plugin-containera to fakt, że nie potrzebuje on dostępu do plików użytkownika w @{HOME}/.mozilla/** , przynajmniej u mnie nic nie chciało. xD
Zablokowałem także możliwość korzystania z webcama i mica, bo w sumie i tak nigdy nie używałem ich w firefoxie a tym bardziej we flashu.
Nie wiem czy shelle (i pozostałe narzędzia) mają być przyblokowane -- póki co jadę bez i nic się nie dzieje. Nie mam też pojęcia czy część plików (te w /sys/ i /dev/) ma być udostępniona czy też nie.
Mogą wystąpić problemy z pobieraniem i wysyłaniem plików, bo nie ma ustawionego globalnego odczytu/zapisu. Tam jest profil na user-downloads i tam jest szereg katalogów określonych i jeśli się nie łapie ktoś to trzeba dopisać sobie gdzie ma być dostęp.
Jeśli widzicie braki czegoś albo coś jest za dużo odblokowane, to piszcie. xD
Offline
2132
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:22:01)
Offline
morfik napisał(-a):
Napisałem takie profile: https://github.com/morfikov/files/tree/master/apparmor-profiles . Tylko te od firefoxa potrzebne ale, że jest załączanych kilka innych to wrzuciłem wszystko co wchodzi w skład.
Generalnie rzecz biorąc, to te profile co dał Jacekalex były strasznie zasyfione — wiele powtórzeń i odwołania do szeregu nieistniejących plików/katalogów. Ja sobie przejrzałem te dwa profile + ten co jest dołączany do apparmora + jakiś jeszcze znalazłem na necie (z nieodległą datą) i zrobiłem to co widać.
......
Jeśli widzicie braki czegoś albo coś jest za dużo odblokowane, to piszcie. xD
/sys/devices/virtual/dmi/** r, /sys/devices/system/cpu/ r, /sys/devices/system/cpu/present r, /sys/devices/system/node/ r, /sys/devices/system/node/node0/meminfo r, /sys/bus/ r, /sys/class/ r,
Po kiego czorta FF ma zaglądać do /sys?
U mnie jakoś nie zagląda tam w ogóle, i żadnej tragedii z tego powodu nie zauważyłem.
Z resztą FF w ogóle o to nie płakał.
Offline
U ciebie przecie też są:
/sys/devices/system/cpu/present r, /sys/devices/system/cpu/online r, /sys/devices/system/cpu/present r, /proc/sys/vm/overcommit_memory r, /sys/devices/system/cpu/cpu1/cpufreq/scaling_cur_freq r, /sys/devices/system/cpu/cpu1/cpufreq/cpuinfo_max_freq r
Offline
Ale nie te:
/sys/bus/ r, /sys/class/ r,
I tylko do plugin-containera, bo flash albo pipelight o nie płakały.
Już nawet nie pamiętam dokładnie które dziadostwo płakało.
Ostatnio edytowany przez Jacekalex (2015-08-11 21:33:27)
Offline
Ok wywaliłem te dwie linijki, bo widać coś teraz nie rzuca się o nie -- wcześniej chciał. xD
Co do pozostałych, to:
/sys/devices/system/cpu/ r, /sys/devices/system/cpu/present r, /sys/devices/system/node/ r, /sys/devices/system/node/node0/meminfo r,
Jest wyrzucane przy wchodzeniu na strony yt w profilu ff.
Offline
O flashu już chyba zapomnimy niedługo, YT już wszędzie u mnie leci po html5, ostatnio sprawdziłem Vimeo, też html5, a Flowplayery i JWplayery używane na stronach przy braku flasha od dawna serwują film mp4.
Offline
Najwyższy czas. Nie będzie problemu pod freebsd... z flash'em http://www.bsdguru.org/dyskusja/viewtopic.php?t=23572
A YT można też w vlc oglądać
Control+N pod VLC i wkleić link utworu z YT i dziala...
Offline
2134
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:22:04)
Offline
Minitube u kogoś działa?
Bo u mnie zarówno Minitube jak i Smtube przestało, z powodu jakiegoś google-api-code, i to zarówno w Gentoo jak i w Debianie.
Offline
2135
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:22:05)
Offline