LINUX.ORG.RU
решено ФорумGames

steam в firejail не работает с «noroot»

 ,


0

1

Доброго времени суток

Симптом: steam не работает: окно логина без текстур, прозрачное, пустое, не знаю как объяснить. От окна остаётся одна рамка и тень, отображается содержимое окна или рабочего стола, которое попало под окно логина. Как ни странно, гугл не помог

Проблема проявляется как с пакетом «steam» из дистрибутива debian, так и с howto вроде http://jorisvr.nl/article/steam-firejail-debian

Причина: не известна

Решение: не известно

Workaround: удалить «noroot» из конфига firejail ( /etc/firejail/steam.profile ) . После этого проблема не воспроизводится

Надеюсь, кому-нибудь поможет. Может быть найдётся и решение получше.

Другие параметры firejail не мешают работе steam ( гугл говорит, что при добавлении «trace» steam крашится, но у меня в конфиге не было этого параметра )

★★★★★

когдато давно делал аппармор правила для скайпа и браузера, после каждого обновления правила ломались и надо заново переделывать(новые либы новые пути новые порты)

надоело перешел на использование виртуалок и отдельных польователей

тебе тоже надоест править конфиги после каждого обновления стима еще и делать спец правила для игр запускаемых стимов(котурые срут в половину системы)

anonymous ()
Ответ на: комментарий от router

в стиме миллионы юзеров ты нах никому не сдался

пока не наживешь «личных хейтеров» до тех пор всем на тебя будет пофиг, подобные «защищалки» дело психически больных

раньше были шапочки из фольги и «бронированые двери»(в хрущевки со стенами из ваты) сейчас профили с правилами доступа, суть таже

anonymous ()
Ответ на: комментарий от anonymous

С предыдущей идеей никак не связано

в стиме миллионы юзеров ты нах никому не сдался

и?

пока не наживешь «личных хейтеров» до тех пор всем на тебя будет пофиг, подобные «защищалки» дело психически больных

«законопослушному гражданину нечего скрывать» - «у законопослушного государства нет гостайны» :D

раньше были шапочки из фольги и «бронированые двери»(в хрущевки со стенами из ваты) сейчас профили с правилами доступа, суть таже

Скучаешь по win95? Ничего страшного, миллионы пожилых людей тоже не разибраются в новых технологиях ;)

router ★★★★★ ()
Ответ на: комментарий от anonymous

Юмор в том, что я не писал эти правила. Из коробки идут дефолтные

В firejail именно это мне и понравилось - без лишнего геморроя улучшается приватность. Т.е. наиболее распространённые приложения не смогут увидеть данные и конфиги других распространённых приложений. Тот же firefox не увидит документы и скажем логи телеграма. Собственно, даже не нужно явно менять команду - от рута автоматом создаются симлинки в /usr/local/bin, от пользователя - desktop файлы. В итоге всё прозрачно

Понятно что если упороться по хардкору, то за надёжной изоляцией приложений нужно идти в subgraph и qubes. Но мне пока норм. Особенно понравилось одной командой запустить приложение без доступа к сети ( firejail --net=none $cmd ), или подключиться к такому типа-контейнеру bash'ем ( firejail --join=$pid bash )

Такой мультитул с низким порогом вхождения

router ★★★★★ ()
Последнее исправление: router (всего исправлений: 2)
Ответ на: комментарий от router

Тот же firefox не увидит документы и скажем логи телеграма

увидит, в файрфоксе гдето на года 2 назад это пофиксили, сделав обход «когда папка есть но она недоступна в дефолтном fropen»

1. файрфокс запускает дефолтный файл менеджер окружения(гном xfce кде и еще с десяток файл менеджеров из топов репозиториев поддерживаются) и чекает файл

2. на основе этого баш скрипт перемещающий файл в папку tmp файрфокса (которая всегда доступна)

3. утилиты типа zenity имеют более 10 способов обхода блока (а без zenity или аналога фф не запустится)

сделано это вовсе не для «хитрого плана слива инфы», а для обхода багов в путях и файл менеджерах и дефолтных Си-либах(fopen дико кривой) если одно крашится/ не дает доступ- запускается алтернатива

в стиме таких обходов раз в 100 больше

anonymous ()
Ответ на: комментарий от anonymous

Спасибо, проверю всё перечисленное

Но ИМХО, эти проблемы специфичны для apparmor. А в firejail используются те же возможности ядра linux, что применяются в контейнерах - namespace, seccomp, capabilities, macvlan, cgroup. Насколько я понимаю, это игрушки посерьёзнее :)

firejail не запрещает firefox'у доступ к файлам. firefox вообще не увидит такие файлы. Смотри:

router@europe:~$ ls -l ~/.bash_history 
-rw------- 1 router router 15594 мар 21 02:53 /home/router/.bash_history
router@europe:~$ firejail --list
1972:router:/usr/bin/firejail /usr/bin/firefox-esr 
router@europe:~$ firejail --join=1972 
Switching to pid 1978, the first child process inside the sandbox
Child process initialized
router@europe:~$ ls -al ~/
итого 24
drwx------ 9 router router  220 мар 21 04:43 .
drwxr-xr-x 3  65534  65534   60 мар 21 04:43 ..
-rw------- 1 router router  345 мар 21 04:43 .asoundrc
-rw-r--r-- 1 router router 3526 мар 21 04:43 .bashrc
drwx--x--x 4 router router   80 мар 21 04:43 .cache
drwxr-xr-x 6 router router  180 мар 21 04:43 .config
drwxr-xr-x 2 router router 4096 ноя 18  2015 .fontconfig
drwx------ 4 router router 4096 мар  6 13:55 .mozilla
drwx------ 3 router router 4096 июн 21  2014 .pki
drwxr-xr-x 8 router router 4096 мар 21 01:38 Загрузки
drwxr-xr-x 2 router router   40 мар 21 04:43 Рабочий стол
router@europe:~$ cp ~/.bash_history /tmp/
cp: не удалось выполнить stat для '/home/router/.bash_history': Нет такого файла или каталога
router@europe:~$ 

В т.ч. он не видит файлы и в gtk'шных диалогах

router ★★★★★ ()
Ответ на: комментарий от anonymous

Ну, строго говоря, firejail не даст настоящую песочницу. С pulseaudio, иксами взаимодействие точно есть. Скорее всего с dbus тоже. Т.е. теоретически можно взаимодействовать с ПО вне контейнера. И если это ПО через своё API может дать доступ к основной системе в обход ограничений, это будет грустно

Но на первый взгляд всё ок. Буду смотреть подробнее

router ★★★★★ ()