Hallo Matthias, hallo zusammen, Am Donnerstag, 19. Juli 2018, 22:59:55 CEST schrieb Matthias:
Vorgestern habe ich auf einem Laptop Leap 15.0 installiert. Nach den üblichen Stolperstellen läuft es recht gut, doch bei einem Problem komme ich nicht weiter.
Ich habe das Firefox-Profil von der 42.3, wo alles klaglos läuft, zur 15.0 mitgenommen. Doch nun startet Firefox unter Apparmor nicht mehr.
Die entscheidende Fehlermeldung in audit.log lautet:
type=AVC msg=audit(1532031199.676:173): apparmor="DENIED" operation="ptrace" profile="/usr/lib64/firefox/firefox" pid=2767 comm="firefox" requested_mask="trace" denied_mask="trace" peer="/usr/lib64/firefox/firefox"
In der Profildatei habe ich daraufhin
capability sys_ptrace,
und wahlweise auch
ptrace peer=usr.lib64.firefox.firefox,
Fast richtig [1] - Du brauchst ptrace peer=/usr/lib64/firefox/firefox, oder alternativ ptrace peer=@{profile_name} Oder Du benutzt einfach aa-logprof und bekommst eine passende Regel vorgeschlagen ;-) BTW: Du könntest die Regel noch weiter einschränken: ptrace (trace) peer=@{profile_name}, Ich wäre aber nicht überrascht, wenn Du als Nächstes einen Logeintrag für "tracedby" bekommst - schließlich traced Firefox sich hier selbst.
Das Netz ist in dem Falle leider nicht sehr hilfreich Das Problem findet sich im Wesentlichen im Zusammenhang mit Docker und die Empfehlung lautet meistens, ptrace zu erlauben (s.o.) und das Profil auf complain zu setzen - da könnte ich mir Apparmor auch gleich sparen.
Die Empfehlung für den Complain-Mode ist der übliche Tip, um erstmal wieder lauffähig zu sein und genügend Logfiles zu generieren, um dann das Profil ergänzen zu können. Wirklich falsch ist das also nicht, aber natürlich bist Du im Complain-Mode ungeschützt. Zu den ptrace-Regeln selbst - die sind (zumindest im Upstream-Kernel) noch recht neu, daher findet sich dazu eher wenig im Netz ;-) Gruß Christian Boltz [1] Die Schreibweise mit Punkten statt / ist nur für die Dateinamen in /etc/apparmor.d in Gebrauch - und sogar da ist es nur eine Konvention (technisch gesehen sind die Dateinamen egal). Im Profil-Inhalt gibt es keine solche Umwandlung von / zu Punkten. -- Postings sind nichts weiter als Kondensationskerne. Mit etwas Glück schlägt sich eine Diskussion an ihnen nieder die sich schon seit Tagen zusammengeballt hat. Oder aber wir haben trockenes Wetter und nix passiert. [Cornell Binder in dafu-l] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org