Kirjoittaja Aihe: [ ratkaistu ] Firejail appimagien hiekkalaatikkona  (Luettu 1691 kertaa)

teele

  • Käyttäjä
  • Viestejä: 852
    • Profiili
Appimagien varmistamiseksi yksi mahdollisuus voisi olla ajaa appimageja jossain hiekkalaatikkoympäristössä. Onko tällainen ajatus oikeasti toimiva, eli voisi siis käyttää appimagea vaikka Firejailissa?
« Viimeksi muokattu: 20.01.23 - klo:21.52 kirjoittanut teele »

nm

  • Käyttäjä
  • Viestejä: 16429
    • Profiili
Vs: Firejail appimagien hiekkalaatikkona
« Vastaus #1 : 17.01.23 - klo:23.49 »
Juu, on varmasti ihan mahdollista ja ehkä järkevääkin.

Näemmä Firejailissa onkin suoraan tuki AppImageille:
https://firejail.wordpress.com/documentation-2/appimage-support/

teele

  • Käyttäjä
  • Viestejä: 852
    • Profiili
Vs: Firejail appimagien hiekkalaatikkona
« Vastaus #2 : 18.01.23 - klo:19.33 »
.... sitten uskalsin kokeilla

Koodia: [Valitse]
$ firejail ./Qucs-0.0.20-pre2-x86_64.AppImage
Reading profile /etc/firejail/default.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-passwdmgr.inc
Reading profile /etc/firejail/disable-programs.inc
Warning: networking feature is disabled in Firejail configuration file

** Note: you can use --noprofile to disable default.profile **

Parent pid 11463, child pid 11464
Warning: cleaning all supplementary groups
Child process initialized in 43.88 ms
execv error: No such file or directory

Parent is shutting down, bye...

mutta taitaa olla appimage-virhe. Appimage on Desktopissa ja pääte on myös. Pitänee kai yrittää selvittää, onko appimagessa joitain tiedosto- tai hakemisto-oletuksia, jotka pitäisi osata ottaa huomioon. Apimage-tuki on päällä firejailissa

Koodia: [Valitse]
$ firejail --version
firejail version 0.9.62

Compile time support:
- AppArmor support is enabled
- AppImage support is enabled
- chroot support is enabled
- file and directory whitelisting support is enabled
- file transfer support is enabled
- firetunnel support is enabled
- networking support is enabled
- overlayfs support is disabled
- private-home support is enabled
- seccomp-bpf support is enabled
- user namespace support is enabled
- X11 sandboxing support is enabled

Tosin appimage-ongelma on vain oletus, mutta en viitsisi kokeilla appimagea ilman firejailia, muutenhan koko hiekkalaatikkoajatus menisi pilalle.

Ai niin, appimagella on suoritusoikeudet ainakin omasta mielestäni

Koodia: [Valitse]
$ ls -l
-rwxr-xr-x 1 k2 k2 19746792 joulu   1 19:45 Qucs-0.0.20-pre2-x86_64.AppImage

Libfusekin taitaa olla

Koodia: [Valitse]
libfuse2/focal,now 2.9.9-3 amd64 [installed,automatic]
libfuse2/focal 2.9.9-3 i386

Sitä vaadittiin täällä
https://askubuntu.com/questions/1413340/appimage-and-no-such-file-or-directory

Ai niin (2), kokeiltava appimage on tominut uusimmalla mintillä, ehkä se eroaa ubuntu 20.04:stä?

« Viimeksi muokattu: 18.01.23 - klo:20.07 kirjoittanut teele »

maksim

  • Käyttäjä
  • Viestejä: 256
  • Mikähän tässä nyt mättää?????
    • Profiili
Vs: Firejail appimagien hiekkalaatikkona
« Vastaus #3 : 19.01.23 - klo:10.57 »
Testailin tuota Firejailia toimivalla Appimagella ja kaikenlaista herjaa tuli, mutta tämä rivi:
Lainaus
** Note: you can use --noprofile to disable default.profile **
Ja sitten komento:
Koodia: [Valitse]
firejail --noprofileTämän jälkeen minulla Firejaill + ko Appimage käynnistyvät kuten pitääkin.

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: Firejail appimagien hiekkalaatikkona
« Vastaus #4 : 19.01.23 - klo:11.30 »
Tämä on eka kerta kun kuulen (luen) firejailista, joten täytyy kysyä jääkö sen ideasta mitään jäljelle kun profiili poistetaan käytöstä? Tekeekö se jotain muutakin kuin sen mikä riippuu profiilin asetuksista?

Kannattaisi ehkä katsoa tarkemmin minkä profiilin valitsee appimagen kanssa?

nm

  • Käyttäjä
  • Viestejä: 16429
    • Profiili
Vs: Firejail appimagien hiekkalaatikkona
« Vastaus #5 : 19.01.23 - klo:13.31 »
.... sitten uskalsin kokeilla

Koodia: [Valitse]
$ firejail ./Qucs-0.0.20-pre2-x86_64.AppImage

Tuosta puuttuu valitsin --appimage. Kokeile näin:

Koodia: [Valitse]
firejail --appimage Qucs-0.0.20-pre2-x86_64.AppImage
Ainakin Ubuntu 22.04:ssä toimii Ubuntun lähteistä asennetulla Firejailin versiolla 0.9.66. Oletusprofiilin rajoitukset eivät estä graafisen käyttöliittymän avautumista, mutta voi olla, että jotain rajoituksia tulee varsinaisen käytön aikana vastaan. Silloin profiilia voi joutua säätämään itse, ottamalla esimerkkiä /etc/firejail-hakemistossa olevista valmiista profiileista. Firejailin oletusprofiili (ja tyypilliset sovellusprofiilit) eivät myöskään estä sovelluksia lukemasta ja muokkaamasta käyttäjän kotihakemistossa sijaitsevia hakemistoja ja tiedostoja, tiettyjä asetustiedostoja lukuun ottamatta. Hiekkalaatikon rajoitukset eivät siis ole vakiona läheskään yhtä tiukat kuin vaikkapa Androidissa.


Qucs 0.0.20:n sijaan kannattanee kokeilla myös Qucs-S:ää, jota kehitetään aktiivisesti: https://ra3xdh.github.io/
« Viimeksi muokattu: 19.01.23 - klo:13.39 kirjoittanut nm »

teele

  • Käyttäjä
  • Viestejä: 852
    • Profiili
Vs: Firejail appimagien hiekkalaatikkona
« Vastaus #6 : 20.01.23 - klo:21.51 »

Ratkaisu oli

Koodia: [Valitse]
firejail --appimage Qucs-0.0.20-pre2-x86_64.AppImage
kuten tässä ketjussa neuvottiin. Käynnistys ei onnistunut ilman profiilivalintaa.

Hiekkalaatikontikinnista,joka oli ihn uusi asia sekin, on vähän selitystä täällä

https://www.digitalocean.com/community/tutorials/how-to-sandbox-processes-with-systemd-on-ubuntu-20-04

Kuten usein aikaisemmnkin, kysytyn asian lisäksi tuli myös neuvoa asiassa, jota en edes keksinyt kysyä. Qucs-S voi olla hyvä vaihtehto, kun ensin ohjelman perusteita on oppinut nyt toimivan asennuksen kanssa.

Kiitoksia neuvoista :)
« Viimeksi muokattu: 20.01.23 - klo:21.55 kirjoittanut teele »