Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

[AppArmor/Spotify] aa-genprof blokkeert execvp

Pagina: 1
Acties:

Vraag


  • cyberstalker
  • Registratie: september 2005
  • Niet online

cyberstalker

Eersteklas beunhaas

Topicstarter
Ik wil op mijn Debian Stretch-systeem Spotify gaan gebruiken. Omdat dit helaas een closed-source applicatie is vind ik het belangrijk om ervoor te zorgen dat deze applicatie geen ongewenste dingen kan doen. Daarom wil ik graag een AppArmor-profiel maken.

Na wat zoekwerk blijk je dit te doen door het draaien van aa-genprof voordat je de applicatie start. Bij spotify werkt dit echter niet, omdat deze probeert om zichzelf op te starten met execvp. Eerst met het volledige pad naar de applicatie en daarna meermaals via /prof/self/exe. Om een of andere reden faalt de executie hiervan en kan ik Spotify niet gebruiken. Om diezelfde reden krijg ik ook geen compleet AppArmor-profiel.

De output van Spotify is als volgt:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Gtk-Message: Failed to load module "canberra-gtk-module"
LaunchProcess: failed to execvp:
/usr/share/spotify/spotify
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
LaunchProcess: failed to execvp:
/proc/self/exe
[1030/114707.357128:ERROR:nss_util.cc(724)] After loading Root Certs, loaded==false: NSS error code: -8018
[1030/114707.358606:ERROR:browser_gpu_channel_host_factory.cc(120)] Failed to launch GPU process.
[1030/114707.358635:ERROR:gpu_process_transport_factory.cc(1029)] Lost UI shared context.
[1030/114707.370855:ERROR:service_manager_context.cc(252)] Attempting to run unsupported native service: /usr/share/spotify/content_renderer.service


Ik heb uiteraard al rondgezocht op deze foutmeldingen in combinatie met AppArmor of aa-genprof maar kan helaas niets relevants vinden. Zijn er mensen die ervaring met AppArmor hebben en wellicht tips hebben om een goed profiel van Spotify te kunnen maken?

Ik ontken het bestaan van IE.

Alle reacties


  • foxgamer2019
  • Registratie: februari 2009
  • Niet online
Heb je het inmiddels al opgelost? :)

Je zou ook kunnen kijken naar sandboxing met zoiets als Firejail, je kunt beide ook tegelijk en samen gebruiken.

Zie: https://wiki.archlinux.or...y#Sandboxing_applications

  • cyberstalker
  • Registratie: september 2005
  • Niet online

cyberstalker

Eersteklas beunhaas

Topicstarter
Nee, ik ben er nog niet uit. Ben inderdaad ook al naar andere opties aan het kijken. Heb ook al gekeken naar een docker-based solution. Daar heeft iemand een Dockerfile voor geschreven, maar die werkt nu helaas ook niet goed meer (spotify crashed dan na een minuut).

Firejail kende ik nog niet, dat ziet er uit als een mooi project. Die hebben zo te zien ook al een policy voor spotify. Enige wat ik daar nog in mis is een restrictie op /proc/*/cmd - want daarmee kan spotify natuurlijk precies zien wat er op de host draait en dat is natuurlijk pure kolder.

Ik ontken het bestaan van IE.


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16-06 22:53

Hero of Time

Moderator NOS

There is only one Legend

Ben je erg gehecht aan apparmor? Want je kan ook kijken wat SELinux te bieden heeft.

Commandline FTW | Tweakt met mate


  • foxgamer2019
  • Registratie: februari 2009
  • Niet online
cyberstalker schreef op donderdag 1 november 2018 @ 15:57:
Nee, ik ben er nog niet uit. Ben inderdaad ook al naar andere opties aan het kijken. Heb ook al gekeken naar een docker-based solution. Daar heeft iemand een Dockerfile voor geschreven, maar die werkt nu helaas ook niet goed meer (spotify crashed dan na een minuut).

Firejail kende ik nog niet, dat ziet er uit als een mooi project. Die hebben zo te zien ook al een policy voor spotify. Enige wat ik daar nog in mis is een restrictie op /proc/*/cmd - want daarmee kan spotify natuurlijk precies zien wat er op de host draait en dat is natuurlijk pure kolder.
https://wiki.archlinux.org/index.php/Security#hidepid

Check ook even de rest van de Wiki-pagina, er staat genoeg ander info.
Hero of Time schreef op donderdag 1 november 2018 @ 17:06:
Ben je erg gehecht aan apparmor? Want je kan ook kijken wat SELinux te bieden heeft.
Ze hebben alle twee hetzelfde idee, al is SELinux wel moeilijker in te stellen.

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16-06 22:53

Hero of Time

Moderator NOS

There is only one Legend

foxgamer2019 schreef op donderdag 1 november 2018 @ 18:00:
[...]

Ze hebben alle twee hetzelfde idee, al is SELinux wel moeilijker in te stellen.
Dat is een mythe. Sinds de versie die in CentOS 7 zit is het een heel stuk duidelijker geworden. Nou heb ik er zelf niet veel ervaring mee, maar het schijnt daarvoor veel meer gezeik te zijn geweest. Mede ook omdat er nog niet veel ontwikkelaars netjes SELinux policies mee leverde toen itt nu. Maar de tooling om zelf regels te maken zijn ook een stuk gebruiksvriendelijker en eenvoudigere geworden.

AppArmor heb ik al helemaal geen ervaring mee. Enige wat ik ervan weet is dat het iets uit de Canonical hoed komt en ze het hebben gemaakt 'omdat SELinux te moeilijk is'. Helaas is meer dingen die bij Canonical vandaan komt niet zo geslaagd (denk aan upstart en mir).

Commandline FTW | Tweakt met mate


  • foxgamer2019
  • Registratie: februari 2009
  • Niet online
Hero of Time schreef op donderdag 1 november 2018 @ 20:44:
[...]

Dat is een mythe. Sinds de versie die in CentOS 7 zit is het een heel stuk duidelijker geworden. Nou heb ik er zelf niet veel ervaring mee, maar het schijnt daarvoor veel meer gezeik te zijn geweest. Mede ook omdat er nog niet veel ontwikkelaars netjes SELinux policies mee leverde toen itt nu. Maar de tooling om zelf regels te maken zijn ook een stuk gebruiksvriendelijker en eenvoudigere geworden.

AppArmor heb ik al helemaal geen ervaring mee. Enige wat ik ervan weet is dat het iets uit de Canonical hoed komt en ze het hebben gemaakt 'omdat SELinux te moeilijk is'. Helaas is meer dingen die bij Canonical vandaan komt niet zo geslaagd (denk aan upstart en mir).
Wil niet helemaal offtopic gaan, upstart vind ik niet helemaal mislukt (het is/was immers beter dan die init.d stuff in mijn ogen), maar systemd is gewoon op zoveel gebieden veel beter. Niet iedereen is er fan van, gelukkig zijn er dus genoeg alternatieven voor.

Mijn vertrouwen in SELinux is mede gedaald doordat het is gemaakt door NSA en ik Apparmor een prima lichter/minder ingewikkeld alternatief vind.

Canonical doet nog erg veel werk voor, maar ben met je eens dat hun focus nogal verkeerd ligt, o.a. met Mir en dan hele Unity verhaal.

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16-06 22:53

Hero of Time

Moderator NOS

There is only one Legend

foxgamer2019 schreef op donderdag 1 november 2018 @ 20:51:
Mijn vertrouwen in SELinux is mede gedaald doordat het is gemaakt door NSA
offtopic:
Ik vind dit soort opmerking zo jammer. Je stelt hiermee dat je er überhaupt vertrouwen in hebt gehad, maar zodra je leerde dat het door de NSA is bedacht en gemaakt (dat is nooit een geheim geweest) vertrouw je het niet. Terwijl het volledig open source is, compleet inzichtelijk in wat het doet en al honderden, al dan niet duizenden, keren door audits van verschillende landen is gekomen.

Ik heb veel meer vertrouwen in de software van de NSA in Linux dan Facebook en soortgelijken. Beide partijen verzamelen data, maar de een doet dat voor de veiligheid, de ander voor pure winst.

Tot zover over dit onderwerp.

Commandline FTW | Tweakt met mate


  • cyberstalker
  • Registratie: september 2005
  • Niet online

cyberstalker

Eersteklas beunhaas

Topicstarter
Ik moet bekennen nog nooit met selinux te hebben gewerkt en dus ook geen idee zou hebben hoe het in te stellen is.

Overigens werkt het firejail-profiel voor Spotify wel in de laatste versie. Ik moet hier nog eens iets verder induiken om te zien of hier niet per ongeluk nog permissies in staan die onnodig zijn. Nadeel is wel dat je het dus iedere keer moet starten met "firejail spotify" waar apparmor dat vanuit de kernel automatisch doet. Heb voor nu iig het spotify.desktop-bestand aangepast zodat het altijd met firejail gestart wordt.

Ik ontken het bestaan van IE.

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True