Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
25.10.2020, 17:53:58

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 24684
  • Letzte: zwockel
Statistiken
  • Beiträge insgesamt: 690663
  • Themen insgesamt: 55906
  • Heute online: 763
  • Am meisten online: 2287
  • (22.01.2020, 19:20:24)
Benutzer Online

Autor Thema: [erledigt] Apparmor-Profil für Firefox zu restriktiv?  (Gelesen 903 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

[erledigt] Apparmor-Profil für Firefox zu restriktiv?
« am: 25.02.2017, 15:38:33 »
Hallo,
ich habe den Link auf Firefox in /etc/apparmor.d/disable gelöscht, damit auch Firefox von Apparmor geschützt wird. Jetzt funktioniert Firefox zwar noch in meinem Account (der Account, der gleich beim Installieren eingerichtet wurde), aber in anderen Accounts wird statt der Website einfach eine weiße Seite angezeigt.
Hier ist der Log von Apparmor, während ich Firefox auf meinem Account starte:
$ tail -F /var/log/syslog | grep "apparmor"
Feb 25 15:01:01 acer-Laptop-Schmiederers kernel: [  282.402021] audit: type=1400 audit(1488031261.278:68): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/proc/3236/net/arp" pid=3242 comm=4C696E6B204D6F6E69746F72 requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Feb 25 15:01:01 acer-Laptop-Schmiederers dbus[1995]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/vfs/mounttracker" interface="org.gtk.vfs.MountTracker" member="ListMountableInfo" mask="send" name=":1.13" pid=3236 label="/usr/lib/firefox/firefox{,*[^s][^h]}" peer_pid=2109 peer_label="unconfined"
Feb 25 15:01:01 acer-Laptop-Schmiederers kernel: [  282.537899] audit: type=1400 audit(1488031261.414:69): apparmor="DENIED" operation="file_mprotect" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release" name="/usr/bin/python3.5" pid=3255 comm="lsb_release" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Beim Starten in einem anderen Account kommen zuerst fast die gleichen Meldungen (andere Zeit, leicht andere Zahlen), dann aber noch:
$ tail -F /var/log/syslog | grep "apparmor"
Feb 25 15:04:19 acer-Laptop-Schmiederers kernel: [  480.986334] audit: type=1400 audit(1488031459.791:71): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/proc/4069/net/arp" pid=4075 comm=4C696E6B204D6F6E69746F72 requested_mask="r" denied_mask="r" fsuid=1001 ouid=0
Feb 25 15:04:19 acer-Laptop-Schmiederers dbus[3690]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/vfs/mounttracker" interface="org.gtk.vfs.MountTracker" member="ListMountableInfo" mask="send" name=":1.16" pid=4069 label="/usr/lib/firefox/firefox{,*[^s][^h]}" peer_pid=3825 peer_label="unconfined"
Feb 25 15:04:19 acer-Laptop-Schmiederers kernel: [  481.140486] audit: type=1400 audit(1488031459.947:72): apparmor="DENIED" operation="file_mprotect" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release" name="/usr/bin/python3.5" pid=4088 comm="lsb_release" requested_mask="r" denied_mask="r" fsuid=1001 ouid=0
Feb 25 15:04:21 acer-Laptop-Schmiederers dbus[3690]: apparmor="DENIED" operation="dbus_method_call"  bus="session" path="/org/gtk/vfs/mounttracker" interface="org.gtk.vfs.MountTracker" member="ListMountableInfo" mask="send" name=":1.16" pid=4110 label="/usr/lib/firefox/firefox{,*[^s][^h]}" peer_pid=3825 peer_label="unconfined"
Feb 25 15:04:22 acer-Laptop-Schmiederers kernel: [  483.462006] audit: type=1400 audit(1488031462.267:73): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.82YSPa" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:22 acer-Laptop-Schmiederers kernel: [  483.466777] audit: type=1400 audit(1488031462.271:74): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.AQOGvQ" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:22 acer-Laptop-Schmiederers kernel: [  483.488586] audit: type=1400 audit(1488031462.295:75): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.ukM1ew" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:22 acer-Laptop-Schmiederers kernel: [  483.499126] audit: type=1400 audit(1488031462.303:76): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.ICG4Zb" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:22 acer-Laptop-Schmiederers kernel: [  483.516567] audit: type=1400 audit(1488031462.323:77): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.YVMWNR" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:22 acer-Laptop-Schmiederers kernel: [  483.572650] audit: type=1400 audit(1488031462.379:78): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.mbnUKx" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:22 acer-Laptop-Schmiederers kernel: [  483.633723] audit: type=1400 audit(1488031462.439:79): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.qamLRd" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:25 acer-Laptop-Schmiederers kernel: [  487.171874] audit: type=1400 audit(1488031465.979:102): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.JBQDNh" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:27 acer-Laptop-Schmiederers kernel: [  488.385382] audit: type=1400 audit(1488031467.191:103): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.FPMvka" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:28 acer-Laptop-Schmiederers kernel: [  489.576183] audit: type=1400 audit(1488031468.383:104): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.J6VlY5" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:29 acer-Laptop-Schmiederers kernel: [  490.780970] audit: type=1400 audit(1488031469.587:105): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.x1DqL4" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:30 acer-Laptop-Schmiederers kernel: [  491.974543] audit: type=1400 audit(1488031470.779:106): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.TJkVF6" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:31 acer-Laptop-Schmiederers kernel: [  493.175259] audit: type=1400 audit(1488031471.979:107): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.ZNSZIb" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:33 acer-Laptop-Schmiederers kernel: [  494.376248] audit: type=1400 audit(1488031473.183:108): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.9D2GUj" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:34 acer-Laptop-Schmiederers kernel: [  495.577297] audit: type=1400 audit(1488031474.383:109): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.Rrm1ev" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:35 acer-Laptop-Schmiederers kernel: [  496.778148] audit: type=1400 audit(1488031475.583:110): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.TNQWHJ" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:36 acer-Laptop-Schmiederers kernel: [  497.978289] audit: type=1400 audit(1488031476.783:111): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.2cpmj1" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:37 acer-Laptop-Schmiederers kernel: [  498.620329] audit: type=1400 audit(1488031477.427:112): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.MIMOAk" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:37 acer-Laptop-Schmiederers kernel: [  498.638035] audit: type=1400 audit(1488031477.443:113): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.Wu48UD" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:37 acer-Laptop-Schmiederers kernel: [  498.654829] audit: type=1400 audit(1488031477.459:114): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.BWQbiX" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:37 acer-Laptop-Schmiederers kernel: [  498.670811] audit: type=1400 audit(1488031477.475:115): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.aWuPHg" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:37 acer-Laptop-Schmiederers kernel: [  498.688442] audit: type=1400 audit(1488031477.495:116): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.c5ekaA" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:04:37 acer-Laptop-Schmiederers kernel: [  498.704071] audit: type=1400 audit(1488031477.511:117): apparmor="DENIED" operation="mknod" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/dev/shm/org.chromium.Nk0lFT" pid=4110 comm=57656220436F6E74656E74 requested_mask="c" denied_mask="c" fsuid=1001 ouid=1001
Feb 25 15:05:51 acer-Laptop-Schmiederers kernel: [  572.560356] audit: type=1400 audit(1488031551.367:130): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/sys/devices/system/node/node0/meminfo" pid=4069 comm="firefox" requested_mask="r" denied_mask="r" fsuid=1001 ouid=0

Apparmor für Firefox einfach wieder deaktivieren möchte ich nicht.
Ich glaube, für die Zeilen mit denied_mask="r" würde ich es schaffen, das Profil entsprechend zu bearbeiten ("r" steht doch für "read", oder?), aber was bedeutet  denied_mask="c" und wie erlaubt man den "dbus_method_call"?

Oder ist Firefox mit einem Virus infiziert und ich sollte das lieber nicht erlauben?

Ich benutze Linux Mint  18 XFCE.

Vielen Dank für eure Hilfe!
Jonathan
« Letzte Änderung: 04.03.2017, 11:50:17 von Jonathan »

Re: Apparmor-Profil für Firefox zu restriktiv?
« Antwort #1 am: 04.03.2017, 11:53:25 »
Hier habe ich die Antwort gefunden:
https://askubuntu.com/questions/877086/firefox-doesnt-display-any-website-with-apparmor-enabled

Man muss Firefox Zugriff auf /dev/shm/org.chromium.* ermöglichen, indem man folgende Zeile zum Profil hinzufügt:
/dev/shm/org.chromium.* rw,
« Letzte Änderung: 04.03.2017, 13:17:54 von Jonathan »

Re: Apparmor-Profil für Firefox zu restriktiv?
« Antwort #2 am: 04.03.2017, 12:28:28 »
Da es hier explizit um AppArmor geht, also ausdrücklich um eine Software wo Sicherheit der springende Punkt ist, soll erwähnt werden dass diese Lösung natürlich Auswirkungen auf die Sicherheit hat.
Gut möglich dass es keine bessere Lösung gibt, confinement/sandboxing/wie immer man es auch nennen mag ist nicht immer einfach.
Aber theoretisch wird diese Sandbox natürlich abgeschwächt gegenüber dem Zustand zuvor wenn volle Schreibrechte hinzugefügt werden wo sie vorher nicht waren.

Re: Apparmor-Profil für Firefox zu restriktiv?
« Antwort #3 am: 04.03.2017, 13:16:53 »
In diesem Ordner gibt es überhaupt gar keine Dateien, die mit "org.chromium." anfangen, ich weiß also gar nicht, wozu die Berechtigung benötigt wird.
Und ich vermute, dass der Ersteller des Profils einfach Chromium nicht installiert hatte und Firefox deswegen bei ihm diese Berechtigungen nicht benötigt hat. Es wäre also wohl auch eine Lösung, Chromium zu deinstallieren.

Da es keine Berechtigung zum Ausführen gibt, kann aber auch nicht durch diese Änderung aus der Sandbox ausgebrochen werden; ich wüsste also spontan nicht, wie das von Malware ausgenutzt werden sollte.