https://opennet.me/openforum/vsluhforumID10/5589.html Все привет! Помогите, пожалуйста, с профилем для AppArmor<br>Вот профиль:<br><br># Last Modified: Mon May 3 21:05:19 2021<br>#include &lt;tunables/global&gt;<br><br>/usr/bin/FBReader flags=(complain) {<br> #include &lt;abstractions/base&gt;<br> #include &lt;abstractions/fonts&gt;<br> #include &lt;abstractions/gnome&gt;<br> #include &lt;abstractions/openssl&gt;<br> #include &lt;abstractions/private-files&gt;<br> #include &lt;abstractions/private-files-strict&gt;<br> #include &lt;abstractions/ssl_certs&gt;<br> #include &lt;abstractions/user-tmp&gt;<br><br> deny network,<br> deny network inet,<br> deny network inet6,<br> deny network raw,<br><br> / r,<br> /** r,<br> /usr/bin/FBReader m,<br> /usr/share/** k,<br> owner /home/*/** rk,<br> owner /home/*/.FBReader/** rw,<br> owner /proc/*/cmdline r,<br><br>}<br><br>Выход в сеть по-прежнему работает<br> https://opennet.me/openforum/vsluhforumID10/5589.html#8 Sat, 08 May 2021 14:48:30 GMT Лично я написал запускалку в 3 строки, которая проверяет, отключилась ли сеть, и если да, то уже запускает приложение (через execve). По сути тот же unshare (я не помню, чтобы тот проверял что-либо, но в случае когда фейлится -- он останавливается). Изначально я делал форк и пытался делать что-то сложнее unshare вторым процессом, но что-то после unshare от юзера есть проблема -- у юзера нет совсем никаких прав, даже виртуальных. Вроде пришёл к тому чтобы добавить логику nsenter и изолировать доступ через файрвол, потому что приложениям всё же бывает необходим локалхост и связь с внешним миром (контролируемая). Но потом я убедился, что всяким гимпам всё же не нужна сеть, и unshare тут вполне хватает.<br> https://opennet.me/openforum/vsluhforumID10/5589.html#7 Tue, 04 May 2021 17:44:22 GMT Вообщем это похоже какие-то дистропроблемы. В debian apparmor с сетью не работает. Почитал английский инет и пишут, что отсутствует код, отвечающий за работу с сетевыми соединениями. В ubuntu apparmor сеть блокирует. Даже денишены писать не надо, так как все, что не разрешено, запрещено по-умолчанию<br><br><br> https://opennet.me/openforum/vsluhforumID10/5589.html#6 Mon, 03 May 2021 22:01:27 GMT &gt; Это тот проприетарный с бэкдорами наверно, у меня ещё старый опенсорсный.<br><br>Ну вот apparmor как раз позволяет ограничить доступ в ОС в том числе и для сети. Тока что-то у меня не работает, но эти же денишены работают прекрасно с wget<br> https://opennet.me/openforum/vsluhforumID10/5589.html#5 Mon, 03 May 2021 21:49:16 GMT Это тот проприетарный с бэкдорами наверно, у меня ещё старый опенсорсный.<br> https://opennet.me/openforum/vsluhforumID10/5589.html#4 Mon, 03 May 2021 21:22:51 GMT &gt; Не знаю где это там, в моём fbreader литрес и все магазины <br>&gt; прямо в бинаре и надо редактировать исходники и перекомпилировать. Unshare именно<br><br>Десктопный с оф. сайта <br>&gt; и отключает любую сеть, если нужен 127 то только от рута <br>&gt; пускать и поднимать сеть наверно (во всяком случае я других способов <br>&gt; не знаю). А, ну ещё nsenter наверно.<br><br>Да их немного namespace, apparmor/selinux, --gid-owner и sg что я знаю<br>Кстати, конфиг в обучающем режиме, но на машине в принудительном<br><br><br> https://opennet.me/openforum/vsluhforumID10/5589.html#3 Mon, 03 May 2021 21:00:25 GMT Не знаю где это там, в моём fbreader литрес и все магазины прямо в бинаре и надо редактировать исходники и перекомпилировать. Unshare именно и отключает любую сеть, если нужен 127 то только от рута пускать и поднимать сеть наверно (во всяком случае я других способов не знаю). А, ну ещё nsenter наверно.<br> https://opennet.me/openforum/vsluhforumID10/5589.html#2 Mon, 03 May 2021 20:51:44 GMT &gt; unshare -r -n<br>&gt; Но вот эти все захардкоженные литресы<br><br>Под сетью я ввиду имел выход в инрернет... Там же sql-файл и он редактируется, удалите Литрес<br><br> https://opennet.me/openforum/vsluhforumID10/5589.html#1 Mon, 03 May 2021 19:59:26 GMT Это всё как-то ненадёжно звучит, как и iptables. Пока что unshare лучшее решение. И unshare -r -n в частности. Сама программа хорошая (если конечно дело в ней) -- в отличие от coolreader нормально открывает epub (cr генерирует кеши полтора часа, долго открывает и перелистывает, с навигацией по оглавлению тоже беда, мобильная версия вообще не юзабельна на больших файлах). Но вот эти все захардкоженные литресы, я не знаю. Помнится, я даже патчил, чтобы заменять литрес на флибусту, хотя зачем вообще сеть читалке файлов без drm сегодня? <br>