Toon posts:

[AppArmor/Spotify] aa-genprof blokkeert execvp

Pagina: 1
Acties:

Vraag


  • cyberstalker
  • Registratie: September 2005
  • Niet online

cyberstalker

Eersteklas beunhaas

Topicstarter
Ik wil op mijn Debian Stretch-systeem Spotify gaan gebruiken. Omdat dit helaas een closed-source applicatie is vind ik het belangrijk om ervoor te zorgen dat deze applicatie geen ongewenste dingen kan doen. Daarom wil ik graag een AppArmor-profiel maken.

Na wat zoekwerk blijk je dit te doen door het draaien van aa-genprof voordat je de applicatie start. Bij spotify werkt dit echter niet, omdat deze probeert om zichzelf op te starten met execvp. Eerst met het volledige pad naar de applicatie en daarna meermaals via /prof/self/exe. Om een of andere reden faalt de executie hiervan en kan ik Spotify niet gebruiken. Om diezelfde reden krijg ik ook geen compleet AppArmor-profiel.

De output van Spotify is als volgt:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Gtk-Message: Failed to load module "canberra-gtk-module"
LaunchProcess: failed to execvp:
/usr/share/spotify/spotify
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
[1030/114707.357128:ERROR:nss_util.cc(724)] After loading Root Certs, loaded==false: NSS error code: -8018
[1030/114707.358606:ERROR:browser_gpu_channel_host_factory.cc(120)] Failed to launch GPU process.
[1030/114707.358635:ERROR:gpu_process_transport_factory.cc(1029)] Lost UI shared context.
[1030/114707.370855:ERROR:service_manager_context.cc(252)] Attempting to run unsupported native service: /usr/share/spotify/content_renderer.service


Ik heb uiteraard al rondgezocht op deze foutmeldingen in combinatie met AppArmor of aa-genprof maar kan helaas niets relevants vinden. Zijn er mensen die ervaring met AppArmor hebben en wellicht tips hebben om een goed profiel van Spotify te kunnen maken?

Ik ontken het bestaan van IE.

Alle reacties


  • foxgamer2019
  • Registratie: Februari 2009
  • Niet online
Heb je het inmiddels al opgelost? :)

Je zou ook kunnen kijken naar sandboxing met zoiets als Firejail, je kunt beide ook tegelijk en samen gebruiken.

Zie: https://wiki.archlinux.or...y#Sandboxing_applications

Forza Horizon 5? Voeg mij toe op Xbox Live. :)


  • cyberstalker
  • Registratie: September 2005
  • Niet online

cyberstalker

Eersteklas beunhaas

Topicstarter
Nee, ik ben er nog niet uit. Ben inderdaad ook al naar andere opties aan het kijken. Heb ook al gekeken naar een docker-based solution. Daar heeft iemand een Dockerfile voor geschreven, maar die werkt nu helaas ook niet goed meer (spotify crashed dan na een minuut).

Firejail kende ik nog niet, dat ziet er uit als een mooi project. Die hebben zo te zien ook al een policy voor spotify. Enige wat ik daar nog in mis is een restrictie op /proc/*/cmd - want daarmee kan spotify natuurlijk precies zien wat er op de host draait en dat is natuurlijk pure kolder.

Ik ontken het bestaan van IE.


  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 17:00

Hero of Time

Moderator LNX

There is only one Legend

Ben je erg gehecht aan apparmor? Want je kan ook kijken wat SELinux te bieden heeft.

Commandline FTW | Tweakt met mate


  • foxgamer2019
  • Registratie: Februari 2009
  • Niet online
cyberstalker schreef op donderdag 1 november 2018 @ 15:57:
Nee, ik ben er nog niet uit. Ben inderdaad ook al naar andere opties aan het kijken. Heb ook al gekeken naar een docker-based solution. Daar heeft iemand een Dockerfile voor geschreven, maar die werkt nu helaas ook niet goed meer (spotify crashed dan na een minuut).

Firejail kende ik nog niet, dat ziet er uit als een mooi project. Die hebben zo te zien ook al een policy voor spotify. Enige wat ik daar nog in mis is een restrictie op /proc/*/cmd - want daarmee kan spotify natuurlijk precies zien wat er op de host draait en dat is natuurlijk pure kolder.
https://wiki.archlinux.org/index.php/Security#hidepid

Check ook even de rest van de Wiki-pagina, er staat genoeg ander info.
Hero of Time schreef op donderdag 1 november 2018 @ 17:06:
Ben je erg gehecht aan apparmor? Want je kan ook kijken wat SELinux te bieden heeft.
Ze hebben alle twee hetzelfde idee, al is SELinux wel moeilijker in te stellen.

Forza Horizon 5? Voeg mij toe op Xbox Live. :)


  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 17:00

Hero of Time

Moderator LNX

There is only one Legend

foxgamer2019 schreef op donderdag 1 november 2018 @ 18:00:
[...]

Ze hebben alle twee hetzelfde idee, al is SELinux wel moeilijker in te stellen.
Dat is een mythe. Sinds de versie die in CentOS 7 zit is het een heel stuk duidelijker geworden. Nou heb ik er zelf niet veel ervaring mee, maar het schijnt daarvoor veel meer gezeik te zijn geweest. Mede ook omdat er nog niet veel ontwikkelaars netjes SELinux policies mee leverde toen itt nu. Maar de tooling om zelf regels te maken zijn ook een stuk gebruiksvriendelijker en eenvoudigere geworden.

AppArmor heb ik al helemaal geen ervaring mee. Enige wat ik ervan weet is dat het iets uit de Canonical hoed komt en ze het hebben gemaakt 'omdat SELinux te moeilijk is'. Helaas is meer dingen die bij Canonical vandaan komt niet zo geslaagd (denk aan upstart en mir).

Commandline FTW | Tweakt met mate


  • foxgamer2019
  • Registratie: Februari 2009
  • Niet online
Hero of Time schreef op donderdag 1 november 2018 @ 20:44:
[...]

Dat is een mythe. Sinds de versie die in CentOS 7 zit is het een heel stuk duidelijker geworden. Nou heb ik er zelf niet veel ervaring mee, maar het schijnt daarvoor veel meer gezeik te zijn geweest. Mede ook omdat er nog niet veel ontwikkelaars netjes SELinux policies mee leverde toen itt nu. Maar de tooling om zelf regels te maken zijn ook een stuk gebruiksvriendelijker en eenvoudigere geworden.

AppArmor heb ik al helemaal geen ervaring mee. Enige wat ik ervan weet is dat het iets uit de Canonical hoed komt en ze het hebben gemaakt 'omdat SELinux te moeilijk is'. Helaas is meer dingen die bij Canonical vandaan komt niet zo geslaagd (denk aan upstart en mir).
Wil niet helemaal offtopic gaan, upstart vind ik niet helemaal mislukt (het is/was immers beter dan die init.d stuff in mijn ogen), maar systemd is gewoon op zoveel gebieden veel beter. Niet iedereen is er fan van, gelukkig zijn er dus genoeg alternatieven voor.

Mijn vertrouwen in SELinux is mede gedaald doordat het is gemaakt door NSA en ik Apparmor een prima lichter/minder ingewikkeld alternatief vind.

Canonical doet nog erg veel werk voor, maar ben met je eens dat hun focus nogal verkeerd ligt, o.a. met Mir en dan hele Unity verhaal.

Forza Horizon 5? Voeg mij toe op Xbox Live. :)


  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 17:00

Hero of Time

Moderator LNX

There is only one Legend

foxgamer2019 schreef op donderdag 1 november 2018 @ 20:51:
Mijn vertrouwen in SELinux is mede gedaald doordat het is gemaakt door NSA
offtopic:
Ik vind dit soort opmerking zo jammer. Je stelt hiermee dat je er überhaupt vertrouwen in hebt gehad, maar zodra je leerde dat het door de NSA is bedacht en gemaakt (dat is nooit een geheim geweest) vertrouw je het niet. Terwijl het volledig open source is, compleet inzichtelijk in wat het doet en al honderden, al dan niet duizenden, keren door audits van verschillende landen is gekomen.

Ik heb veel meer vertrouwen in de software van de NSA in Linux dan Facebook en soortgelijken. Beide partijen verzamelen data, maar de een doet dat voor de veiligheid, de ander voor pure winst.

Tot zover over dit onderwerp.

Commandline FTW | Tweakt met mate


  • cyberstalker
  • Registratie: September 2005
  • Niet online

cyberstalker

Eersteklas beunhaas

Topicstarter
Ik moet bekennen nog nooit met selinux te hebben gewerkt en dus ook geen idee zou hebben hoe het in te stellen is.

Overigens werkt het firejail-profiel voor Spotify wel in de laatste versie. Ik moet hier nog eens iets verder induiken om te zien of hier niet per ongeluk nog permissies in staan die onnodig zijn. Nadeel is wel dat je het dus iedere keer moet starten met "firejail spotify" waar apparmor dat vanuit de kernel automatisch doet. Heb voor nu iig het spotify.desktop-bestand aangepast zodat het altijd met firejail gestart wordt.

Ik ontken het bestaan van IE.

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee