Guten Abend! Vorgestern habe ich auf einem Laptop Leap 15.0 installiert. Nach den üblichen Stolperstellen läuft es recht gut, doch bei einem Problem komme ich nicht weiter. Ich habe das Firefox-Profil von der 42.3, wo alles klaglos läuft, zur 15.0 mitgenommen. Doch nun startet Firefox unter Apparmor nicht mehr. Die entscheidende Fehlermeldung in audit.log lautet: type=AVC msg=audit(1532031199.676:173): apparmor="DENIED" operation="ptrace" profile="/usr/lib64/firefox/firefox" pid=2767 comm="firefox" requested_mask="trace" denied_mask="trace" peer="/usr/lib64/firefox/firefox" In der Profildatei habe ich daraufhin capability sys_ptrace, und wahlweise auch ptrace peer=usr.lib64.firefox.firefox, ergänzt. Probiert habe ich mit: Apparmor 2.12-lp150.5.1 Apparmor 2.13-lp150.291.1 und Kernel-default 4.12.14-lp150.11 4.12.14-lp150.12.4 4.17.8-1.1 in allen Kombinationen Das Netz ist in dem Falle leider nicht sehr hilfreich Das Problem findet sich im Wesentlichen im Zusammenhang mit Docker und die Empfehlung lautet meistens, ptrace zu erlauben (s.o.) und das Profil auf complain zu setzen - da könnte ich mir Apparmor auch gleich sparen. Hat jemand eine Idee, wie ich Firefox mit Apparmor zum Laufen bringen kann? Vielen Dank schonmal und noch einen schönen Abend Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Matthias, hallo zusammen, Am Donnerstag, 19. Juli 2018, 22:59:55 CEST schrieb Matthias:
Vorgestern habe ich auf einem Laptop Leap 15.0 installiert. Nach den üblichen Stolperstellen läuft es recht gut, doch bei einem Problem komme ich nicht weiter.
Ich habe das Firefox-Profil von der 42.3, wo alles klaglos läuft, zur 15.0 mitgenommen. Doch nun startet Firefox unter Apparmor nicht mehr.
Die entscheidende Fehlermeldung in audit.log lautet:
type=AVC msg=audit(1532031199.676:173): apparmor="DENIED" operation="ptrace" profile="/usr/lib64/firefox/firefox" pid=2767 comm="firefox" requested_mask="trace" denied_mask="trace" peer="/usr/lib64/firefox/firefox"
In der Profildatei habe ich daraufhin
capability sys_ptrace,
und wahlweise auch
ptrace peer=usr.lib64.firefox.firefox,
Fast richtig [1] - Du brauchst ptrace peer=/usr/lib64/firefox/firefox, oder alternativ ptrace peer=@{profile_name} Oder Du benutzt einfach aa-logprof und bekommst eine passende Regel vorgeschlagen ;-) BTW: Du könntest die Regel noch weiter einschränken: ptrace (trace) peer=@{profile_name}, Ich wäre aber nicht überrascht, wenn Du als Nächstes einen Logeintrag für "tracedby" bekommst - schließlich traced Firefox sich hier selbst.
Das Netz ist in dem Falle leider nicht sehr hilfreich Das Problem findet sich im Wesentlichen im Zusammenhang mit Docker und die Empfehlung lautet meistens, ptrace zu erlauben (s.o.) und das Profil auf complain zu setzen - da könnte ich mir Apparmor auch gleich sparen.
Die Empfehlung für den Complain-Mode ist der übliche Tip, um erstmal wieder lauffähig zu sein und genügend Logfiles zu generieren, um dann das Profil ergänzen zu können. Wirklich falsch ist das also nicht, aber natürlich bist Du im Complain-Mode ungeschützt. Zu den ptrace-Regeln selbst - die sind (zumindest im Upstream-Kernel) noch recht neu, daher findet sich dazu eher wenig im Netz ;-) Gruß Christian Boltz [1] Die Schreibweise mit Punkten statt / ist nur für die Dateinamen in /etc/apparmor.d in Gebrauch - und sogar da ist es nur eine Konvention (technisch gesehen sind die Dateinamen egal). Im Profil-Inhalt gibt es keine solche Umwandlung von / zu Punkten. -- Postings sind nichts weiter als Kondensationskerne. Mit etwas Glück schlägt sich eine Diskussion an ihnen nieder die sich schon seit Tagen zusammengeballt hat. Oder aber wir haben trockenes Wetter und nix passiert. [Cornell Binder in dafu-l] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 20 Jul 2018 12:46:35 +0200 schrieb Christian Boltz <suse@cboltz.de>: Hallo Christian! Vielen Dank für Deine Tipps. Mittlerweile läuft Firefox auch wieder. Das ptrace-Problem habe genau so gelöst:
ptrace peer=@{profile_name}
Das war aber noch nicht das Ende der Fahnenstange. Ich mußte den Zugriff auf etliche Fonts und font-confs u.a. freigeben, was ich bis 42.3 gesperrt hatte. Weiß der Fuchs ;-), warum der das nicht wie bisher nur angemeckert, sondern jegliche Zusammenarbeit verweigert hat.
BTW: Du könntest die Regel noch weiter einschränken: ptrace (trace) peer=@{profile_name}, Das werde ich nochmal probieren. Es ist sowieso noch etwas Feinarbeit am Profil nötig, bis hoffentlich alles wieder o.k. ist.
Danke nochmal und viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Christian Boltz
-
Matthias