AppArmor Profil Firefox - Rechte einschränken

  • Als ich damals bei Ubuntu gelandet bin habe ich AppArmor verwendet um Firefox und Skype abzuschotten. Musste ich damals relativ aufwendig konfigurieren, da Neuland für mich.


    Nun das ist einige Jahre her und es war wieder Neuland für mich. Habe von hier eine Config.


    Habe die so überarbeitet, dass Firefox nur noch unter Downloads speichern kann und Uploaden kann er aus Downloads und Öffentlich. Was auch nicht funktioniert ist zb. eine PDF aus dem Browser heraus mit zb. Envince zu öffnen. Brauche ich aber nicht da ich die Browser eigene Darstellung nutze und sonst herunterlade.


    Das ganze ist nur zum Testen, da ich Leihe bin keine Gewähr.


    Getestet unter Ubuntu 18.04 (Bionic Beaver)


    Im Terminal sudo apt-get install apparmor apparmor-utils durchführen die angehängte Datei (usr.bin.firefox.zip) entpacken und usr.bin.firefox nach /etc/apparmor.d/ kopieren.

    • sudo aa-enforce usr.bin.firefox um das ganze scharfzustellen.
    • sudo service apparmor restart um den Deamon neu zu starten.
    • sudo aa-complain usr.bin.firefox um die Scharfschaltung aufzuheben.


    Verbesserungen des Code hier bitte im Thema bekanntgeben. Danke.


    Ich hab es deshalb angehängt, da beim Code Posten die Einrückungen verlorengehen.

  • Hallo,
    bin bei mir ja noch am Testen mit Linux Mint :)


    Hab mal ein Test gemacht ob es bei mir schon drin ist, komme aber mit dem was ich bekommen habe noch nicht klar.


    xxxxx@Desktop:~$ sudo aa-status
    [sudo] Passwort für xxxxx:
    apparmor module is loaded.
    21 profiles are loaded.
    19 profiles are in enforce mode.
    /sbin/dhclient
    /usr/bin/man
    /usr/lib/NetworkManager/nm-dhcp-client.action
    /usr/lib/NetworkManager/nm-dhcp-helper
    /usr/lib/connman/scripts/dhclient-script
    /usr/lib/cups/backend/cups-pdf
    /usr/lib/lightdm/lightdm-guest-session
    /usr/lib/lightdm/lightdm-guest-session//chromium
    /usr/sbin/cups-browsed
    /usr/sbin/cupsd
    /usr/sbin/cupsd//third_party
    /usr/sbin/ippusbxd
    /usr/sbin/tcpdump
    libreoffice-senddoc
    libreoffice-senddoc//sanitized_helper
    libreoffice-soffice//gpg
    libreoffice-xpdfimport
    man_filter
    man_groff
    2 profiles are in complain mode.
    libreoffice-oopslash
    libreoffice-soffice
    3 processes have profiles defined.
    3 processes are in enforce mode.
    /sbin/dhclient (1380)
    /usr/sbin/cups-browsed (888)
    /usr/sbin/cupsd (807)
    0 processes are in complain mode.
    0 processes are unconfined but have a profile defined.
    xxxxx@Desktop:~$


    :) bin ja noch am Testen und Spielen mit Linux.


    LG

  • Ist nicht drin. Mach mal. :) bzw. folge meiner Anleitung. Wichtig ist halt nur das du es wenn der Browser deshalb nicht funktioniert einen zweiten zb. Chromium installierst um zu recherchieren.


    Der Firefox ist aber der Hauptbrowser von Ubuntu/Mint da er als einziges von Canonical gewartet wird und regelmäßig Updates erhält.


    edit: Wenn unter /etc/apparmor.d/disable eine Firefox Verknüpfung ist, dann in den Papierkorb verschieben.


    LG zurück

  • Hallo,
    hab ich gemacht schau mal bitte ob es richtig war.


    apparmor module is loaded.
    26 profiles are loaded.
    24 profiles are in enforce mode.
    /sbin/dhclient
    /usr/bin/man
    /usr/lib/NetworkManager/nm-dhcp-client.action
    /usr/lib/NetworkManager/nm-dhcp-helper
    /usr/lib/connman/scripts/dhclient-script
    /usr/lib/cups/backend/cups-pdf
    /usr/lib/firefox/firefox{,*[^s][^h]}
    /usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
    /usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
    /usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release
    /usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
    /usr/lib/lightdm/lightdm-guest-session
    /usr/lib/lightdm/lightdm-guest-session//chromium
    /usr/sbin/cups-browsed
    /usr/sbin/cupsd
    /usr/sbin/cupsd//third_party
    /usr/sbin/ippusbxd
    /usr/sbin/tcpdump
    libreoffice-senddoc
    libreoffice-senddoc//sanitized_helper
    libreoffice-soffice//gpg
    libreoffice-xpdfimport
    man_filter
    man_groff
    2 profiles are in complain mode.
    libreoffice-oopslash
    libreoffice-soffice
    4 processes have profiles defined.
    4 processes are in enforce mode.
    /sbin/dhclient (1380)
    /usr/lib/firefox/firefox{,*[^s][^h]} (12297)
    /usr/sbin/cups-browsed (888)
    /usr/sbin/cupsd (807)
    0 processes are in complain mode.
    0 processes are unconfined but have a profile defined.


    Lg

  • Schaut gut aus auf den ersten Blick.


    Test selbst:

    • kannst du von überall Dateien in Firefox öffnen? Nein, dann gut. Es dürfen nur Öffentlich und Downloads funktionieren.
    • kannst du mit Firefox überall Dateien speichern. Nein? Denn das darf nur unter Downloads geschehen.

    Sag mal bescheid!

  • Hallo,
    hier nochmal zum vergleichen.


    apparmor module is loaded.
    26 profiles are loaded.
    24 profiles are in enforce mode.
    /sbin/dhclient
    /usr/bin/man
    /usr/lib/NetworkManager/nm-dhcp-client.action
    /usr/lib/NetworkManager/nm-dhcp-helper
    /usr/lib/connman/scripts/dhclient-script
    /usr/lib/cups/backend/cups-pdf
    /usr/lib/firefox/firefox{,*[^s][^h]}
    /usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
    /usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
    /usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release
    /usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
    /usr/lib/lightdm/lightdm-guest-session
    /usr/lib/lightdm/lightdm-guest-session//chromium
    /usr/sbin/cups-browsed
    /usr/sbin/cupsd
    /usr/sbin/cupsd//third_party
    /usr/sbin/ippusbxd
    /usr/sbin/tcpdump
    libreoffice-senddoc
    libreoffice-senddoc//sanitized_helper
    libreoffice-soffice//gpg
    libreoffice-xpdfimport
    man_filter
    man_groff
    2 profiles are in complain mode.
    libreoffice-oopslash
    libreoffice-soffice
    9 processes have profiles defined.
    9 processes are in enforce mode.
    /sbin/dhclient (1380)
    /usr/lib/firefox/firefox{,*[^s][^h]} (13329)
    /usr/lib/firefox/firefox{,*[^s][^h]} (13395)
    /usr/lib/firefox/firefox{,*[^s][^h]} (13544)
    /usr/lib/firefox/firefox{,*[^s][^h]} (13900)
    /usr/lib/firefox/firefox{,*[^s][^h]} (13924)
    /usr/lib/firefox/firefox{,*[^s][^h]} (14025)
    /usr/sbin/cups-browsed (888)
    /usr/sbin/cupsd (807)
    0 processes are in complain mode.
    0 processes are unconfined but have a profile defined.


    LG

  • sudo aa-status
    [sudo] Passwort für me:
    apparmor module is loaded.
    43 profiles are loaded.
    35 profiles are in enforce mode.
    /sbin/dhclient
    /snap/core/4917/usr/lib/snapd/snap-confine
    /snap/core/4917/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
    /snap/core/5328/usr/lib/snapd/snap-confine
    /snap/core/5328/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
    /usr/bin/man
    /usr/lib/NetworkManager/nm-dhcp-client.action
    /usr/lib/NetworkManager/nm-dhcp-helper
    /usr/lib/connman/scripts/dhclient-script
    /usr/lib/cups/backend/cups-pdf
    /usr/lib/firefox/firefox{,*[^s][^h]}
    /usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release
    /usr/lib/lightdm/lightdm-guest-session
    /usr/lib/lightdm/lightdm-guest-session//chromium
    /usr/lib/snapd/snap-confine
    /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
    /usr/sbin/cups-browsed
    /usr/sbin/cupsd
    /usr/sbin/cupsd//third_party
    /usr/sbin/ippusbxd
    /usr/sbin/tcpdump
    libreoffice-senddoc
    libreoffice-senddoc//sanitized_helper
    libreoffice-soffice//gpg
    libreoffice-xpdfimport
    man_filter
    man_groff
    snap-update-ns.core
    snap-update-ns.falkon
    snap-update-ns.pulsemixer
    snap-update-ns.software-boutique
    snap-update-ns.ubuntu-mate-welcome
    snap.core.hook.configure
    snap.falkon.falkon
    snap.pulsemixer.pulsemixer
    8 profiles are in complain mode.
    libreoffice-oopslash
    libreoffice-soffice
    snap.software-boutique.software-boutique
    snap.ubuntu-mate-welcome.hook.install
    snap.ubuntu-mate-welcome.hook.post-refresh
    snap.ubuntu-mate-welcome.hook.remove
    snap.ubuntu-mate-welcome.software-boutique
    snap.ubuntu-mate-welcome.ubuntu-mate-welcome
    7 processes have profiles defined.
    7 processes are in enforce mode.
    /sbin/dhclient (1105)
    /usr/lib/firefox/firefox{,*[^s][^h]} (1961)
    /usr/lib/firefox/firefox{,*[^s][^h]} (13584)
    /usr/lib/firefox/firefox{,*[^s][^h]} (14039)
    /usr/lib/firefox/firefox{,*[^s][^h]} (14131)
    /usr/sbin/cups-browsed (831)
    /usr/sbin/cupsd (733)
    0 processes are in complain mode.
    0 processes are unconfined but have a profile defined.


    Wobei ich Ubuntu-Mate verwende, da sind snap vorinstalliert. Falkon-Browser habe ich per snap nachinstalliert. Siehe dazu wenn du lust hast: Falkon Web Browser (Aber die Schriftdarstellung des Browser ist grauslich)


    Habe nur Firefox manuell konfiguriert Rest System/Automatik

  • Bei mir wurde die usr.bin.firefox bei einem Systemupdate überschrieben:


    sudo aa-complain usr.bin.firefox durchführen


    Im Terminal sudo apt-get install apparmor apparmor-utils durchführen die angehängte Datei (usr.bin.firefox.zip) entpacken und usr.bin.firefox nach /etc/apparmor.d/ kopieren.

    Die Datei herunterladen und entpacken und usr.bin.firefox Umbenennen in usr.bin.firefox_eigene und nach /etc/apparmor.d/ verschieben.


    sudo aa-enforce usr.bin.firefox_eigene durchführen


    Sollte zukünftig wieder ein Update die Konfigurationsdatei usr.bin.firefox überschreiben ist es egal da diese Datei nicht genutzt wird.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!