AppArmor Profil Firefox - Rechte einschränken

Kater

Als ich damals bei Ubuntu gelandet bin habe ich AppArmor verwendet um Firefox und Skype abzuschotten. Musste ich damals relativ aufwendig konfigurieren, da Neuland für mich.

Nun das ist einige Jahre her und es war wieder Neuland für mich. Habe von hier eine Config.

Habe die so überarbeitet, dass Firefox nur noch unter Downloads speichern kann und Uploaden kann er aus Downloads und Öffentlich. Was auch nicht funktioniert ist zb. eine PDF aus dem Browser heraus mit zb. Envince zu öffnen. Brauche ich aber nicht da ich die Browser eigene Darstellung nutze und sonst herunterlade.

Das ganze ist nur zum Testen, da ich Leihe bin keine Gewähr.

Getestet unter Ubuntu 18.04 (Bionic Beaver)

Im Terminal sudo apt-get install apparmor apparmor-utils durchführen die angehängte Datei (

Der Inhalt kann nicht angezeigt werden, da Sie keine Berechtigung haben, diesen Inhalt zu sehen.

) entpacken und usr.bin.firefox nach /etc/apparmor.d/ kopieren.

sudo aa-enforce usr.bin.firefox um das ganze scharfzustellen.
sudo service apparmor restart um den Deamon neu zu starten.
sudo aa-complain usr.bin.firefox um die Scharfschaltung aufzuheben.

Verbesserungen des Code hier bitte im Thema bekanntgeben. Danke.

Ich hab es deshalb angehängt, da beim Code Posten die Einrückungen verlorengehen.

Kater

Um das öffnen von mp3 Dateien in Audacious zu ermöglichen zb:

/usr/bin/audacious rUx,

Daida

Hallo,
bin bei mir ja noch am Testen mit Linux Mint

Hab mal ein Test gemacht ob es bei mir schon drin ist, komme aber mit dem was ich bekommen habe noch nicht klar.

xxxxx@Desktop:~$ sudo aa-status
[sudo] Passwort für xxxxx:
apparmor module is loaded.
21 profiles are loaded.
19 profiles are in enforce mode.
/sbin/dhclient
/usr/bin/man
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/lib/lightdm/lightdm-guest-session
/usr/lib/lightdm/lightdm-guest-session//chromium
/usr/sbin/cups-browsed
/usr/sbin/cupsd
/usr/sbin/cupsd//third_party
/usr/sbin/ippusbxd
/usr/sbin/tcpdump
libreoffice-senddoc
libreoffice-senddoc//sanitized_helper
libreoffice-soffice//gpg
libreoffice-xpdfimport
man_filter
man_groff
2 profiles are in complain mode.
libreoffice-oopslash
libreoffice-soffice
3 processes have profiles defined.
3 processes are in enforce mode.
/sbin/dhclient (1380)
/usr/sbin/cups-browsed (888)
/usr/sbin/cupsd (807)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
xxxxx@Desktop:~$

bin ja noch am Testen und Spielen mit Linux.

LG

Kater

Ist nicht drin. Mach mal. bzw. folge meiner Anleitung. Wichtig ist halt nur das du es wenn der Browser deshalb nicht funktioniert einen zweiten zb. Chromium installierst um zu recherchieren.

Der Firefox ist aber der Hauptbrowser von Ubuntu/Mint da er als einziges von Canonical gewartet wird und regelmäßig Updates erhält.

edit: Wenn unter /etc/apparmor.d/disable eine Firefox Verknüpfung ist, dann in den Papierkorb verschieben.

LG zurück

Daida

Hallo,
hab ich gemacht schau mal bitte ob es richtig war.

apparmor module is loaded.
26 profiles are loaded.
24 profiles are in enforce mode.
/sbin/dhclient
/usr/bin/man
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/lib/firefox/firefox{,*[^s][^h]}
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
/usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release
/usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
/usr/lib/lightdm/lightdm-guest-session
/usr/lib/lightdm/lightdm-guest-session//chromium
/usr/sbin/cups-browsed
/usr/sbin/cupsd
/usr/sbin/cupsd//third_party
/usr/sbin/ippusbxd
/usr/sbin/tcpdump
libreoffice-senddoc
libreoffice-senddoc//sanitized_helper
libreoffice-soffice//gpg
libreoffice-xpdfimport
man_filter
man_groff
2 profiles are in complain mode.
libreoffice-oopslash
libreoffice-soffice
4 processes have profiles defined.
4 processes are in enforce mode.
/sbin/dhclient (1380)
/usr/lib/firefox/firefox{,*[^s][^h]} (12297)
/usr/sbin/cups-browsed (888)
/usr/sbin/cupsd (807)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Lg

Kater

Schaut gut aus auf den ersten Blick.

Test selbst:

kannst du von überall Dateien in Firefox öffnen? Nein, dann gut. Es dürfen nur Öffentlich und Downloads funktionieren.
kannst du mit Firefox überall Dateien speichern. Nein? Denn das darf nur unter Downloads geschehen.

Sag mal bescheid!

Daida

Hallo,
ich glaub ich habe was falsch gemacht, den ich kann Dateien laden und speichern

Lg

Kater

Diese Datei heruntergeladen und verwendet? https://www.paules-pc-forum.de/forum/attachme…in-firefox-zip/

Danach:

sudo aa-enforce usr.bin.firefox um das ganze scharfzustellen.
sudo service apparmor restart um den Deamon neu zu starten.

Daida

Hallo,
jetzt geht es !
War mein Fehler ich hatte die Kopie von usr.bin.firefox noch im Verzeichnis gelassen und jetzt klappt alles

Danke

LG

Kater

Zitat von Kater

Um das öffnen von mp3 Dateien in Audacious zu ermöglichen zb:
/usr/bin/audacious rUx,

Oder auch deinen Dateimanager eintragen, dann kannst du aus Firefox heraus deinen Downloads Ordner öffnen. (Nicht getestet aber müsste funktionieren).

Ich verwende aber beides nicht.

Daida

Hallo,
hier nochmal zum vergleichen.

apparmor module is loaded.
26 profiles are loaded.
24 profiles are in enforce mode.
/sbin/dhclient
/usr/bin/man
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/lib/firefox/firefox{,*[^s][^h]}
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
/usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release
/usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
/usr/lib/lightdm/lightdm-guest-session
/usr/lib/lightdm/lightdm-guest-session//chromium
/usr/sbin/cups-browsed
/usr/sbin/cupsd
/usr/sbin/cupsd//third_party
/usr/sbin/ippusbxd
/usr/sbin/tcpdump
libreoffice-senddoc
libreoffice-senddoc//sanitized_helper
libreoffice-soffice//gpg
libreoffice-xpdfimport
man_filter
man_groff
2 profiles are in complain mode.
libreoffice-oopslash
libreoffice-soffice
9 processes have profiles defined.
9 processes are in enforce mode.
/sbin/dhclient (1380)
/usr/lib/firefox/firefox{,*[^s][^h]} (13329)
/usr/lib/firefox/firefox{,*[^s][^h]} (13395)
/usr/lib/firefox/firefox{,*[^s][^h]} (13544)
/usr/lib/firefox/firefox{,*[^s][^h]} (13900)
/usr/lib/firefox/firefox{,*[^s][^h]} (13924)
/usr/lib/firefox/firefox{,*[^s][^h]} (14025)
/usr/sbin/cups-browsed (888)
/usr/sbin/cupsd (807)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

LG

Kater

sudo aa-status
[sudo] Passwort für me:
apparmor module is loaded.
43 profiles are loaded.
35 profiles are in enforce mode.
/sbin/dhclient
/snap/core/4917/usr/lib/snapd/snap-confine
/snap/core/4917/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
/snap/core/5328/usr/lib/snapd/snap-confine
/snap/core/5328/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
/usr/bin/man
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/lib/firefox/firefox{,*[^s][^h]}
/usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release
/usr/lib/lightdm/lightdm-guest-session
/usr/lib/lightdm/lightdm-guest-session//chromium
/usr/lib/snapd/snap-confine
/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
/usr/sbin/cups-browsed
/usr/sbin/cupsd
/usr/sbin/cupsd//third_party
/usr/sbin/ippusbxd
/usr/sbin/tcpdump
libreoffice-senddoc
libreoffice-senddoc//sanitized_helper
libreoffice-soffice//gpg
libreoffice-xpdfimport
man_filter
man_groff
snap-update-ns.core
snap-update-ns.falkon
snap-update-ns.pulsemixer
snap-update-ns.software-boutique
snap-update-ns.ubuntu-mate-welcome
snap.core.hook.configure
snap.falkon.falkon
snap.pulsemixer.pulsemixer
8 profiles are in complain mode.
libreoffice-oopslash
libreoffice-soffice
snap.software-boutique.software-boutique
snap.ubuntu-mate-welcome.hook.install
snap.ubuntu-mate-welcome.hook.post-refresh
snap.ubuntu-mate-welcome.hook.remove
snap.ubuntu-mate-welcome.software-boutique
snap.ubuntu-mate-welcome.ubuntu-mate-welcome
7 processes have profiles defined.
7 processes are in enforce mode.
/sbin/dhclient (1105)
/usr/lib/firefox/firefox{,*[^s][^h]} (1961)
/usr/lib/firefox/firefox{,*[^s][^h]} (13584)
/usr/lib/firefox/firefox{,*[^s][^h]} (14039)
/usr/lib/firefox/firefox{,*[^s][^h]} (14131)
/usr/sbin/cups-browsed (831)
/usr/sbin/cupsd (733)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Wobei ich Ubuntu-Mate verwende, da sind snap vorinstalliert. Falkon-Browser habe ich per snap nachinstalliert. Siehe dazu wenn du lust hast: Falkon Web Browser (Aber die Schriftdarstellung des Browser ist grauslich)

Habe nur Firefox manuell konfiguriert Rest System/Automatik

Daida

Hallo,
hab den Falkon Browser auf meinem Laptop drauf der ist richtig schnell aber wie du schon sagst Schriftdarstellung ist
nicht so der Hit aber damit kann ich leben auf dem Laptop.

LG

Kater

Bei mir wurde die usr.bin.firefox bei einem Systemupdate überschrieben:

sudo aa-complain usr.bin.firefox durchführen

Zitat von Kater

Im Terminal sudo apt-get install apparmor apparmor-utils durchführen die angehängte Datei (
Der Inhalt kann nicht angezeigt werden, da Sie keine Berechtigung haben, diesen Inhalt zu sehen.
) entpacken und usr.bin.firefox nach /etc/apparmor.d/ kopieren.

Die Datei herunterladen und entpacken und usr.bin.firefox Umbenennen in usr.bin.firefox_eigene und nach /etc/apparmor.d/ verschieben.

sudo aa-enforce usr.bin.firefox_eigene durchführen

Sollte zukünftig wieder ein Update die Konfigurationsdatei usr.bin.firefox überschreiben ist es egal da diese Datei nicht genutzt wird.

AppArmor Profil Firefox - Rechte einschränken

Jetzt mitmachen!

Tags