Firejail Standard-Profile funktionieren nicht

zaphod · 19. Oktober 2022 um 20:15

Moin,
so genial ich es finde, ich habe immer mal wieder probleme mit Firejail. Ich bin ehrlich gesagt noch etwas zu faul für konsequentes Hardening wenn manueller Aufwand erforderlich ist, und gebe mich aktuell mit den vorgefertigten Profilen für AppArmor und Firejail zufrieden. Leider machen mir letztere insbesondere bei Browsern Probleme. Die Erfahrung hab ich bei Debian 10, 11 und MX 21 gemacht, jeweils mit Librewolf und torbrowser-launcher.

Librewolf

Startet gar nicht erst. Ich denke da gibt es irgendwelche Schreibrecht-Probleme. Die Pfade sind in der vorgefertigten Config aber alle gewhitelistet…

firejail --profile=~/.config/firejail/librewolf.config librewolf
Reading profile /home/user/.config/firejail/librewolf.config
Reading profile /etc/firejail/firefox-common.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-exec.inc
Reading profile /etc/firejail/disable-interpreters.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-runuser-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Parent pid 5034, child pid 5035
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Child process initialized in 327.86 ms
librewolf: util.c:931: create_empty_file_as_root: Assertion `s.st_uid == 0' failed.

Parent is shutting down, bye...

torbrowser-launcher

Es fehlt Zugriff auf torrc, der Browser startet, gibt aber direkt folgenden Fehler:

Tor wurde beim Starten unerwartet unterbrochen. Dies kann die Folge eines Fehlers in ihrer "torrc"-Datei, ein Fehler in Tor, einem anderen Programm in ihrem System oder fehlerhafte Hardware sein. Bis die Ursache beseitigt und Tor neu gestartet wurde, kann der Tor Browser nicht starten.

Im Terminal gibt es einige Warnings vom Typ Warning fcopy: skipping /etc/alternatives/XYZ, cannot find inode, die sehen mir aber unverdächtig aus.

Hat jemand bereits die beiden Standard-Profile erfolgreich eingesetzt oder Ansatzpunkte für mich?

kuketzblog · 3. November 2022 um 09:34

Mein Vorschlag wäre, es bezüglich Librewolf mal bei Firejail (GitHub) zu versuchen.

Zum Tor-Browser muss man wissen: Tor Browser (/home install)

Eisbaer167 · 8. November 2022 um 07:20

Bei mir öffnet beim Klicken auf Links in Thunderbird nicht mein aktuelles Firefox-Profil. Also beispielsweise, wenn ich einen Artikel aus dem RSS-Feed dieses Forums anklicke.
Gibt es dafür eine gute Möglichkeit? (Ich meine, ich hätte da irgendwo einmal etwas gehört, weiß aber nicht mehr wo…)

bummelstein · 8. November 2022 um 10:30

Bezieht sich das auf Firejail?

ilu · 8. November 2022 um 20:54

Wenn da gar nichts aufgeht, ist das (unter Linux) vermutlich AppArmor.

zaphod · 9. November 2022 um 18:55

ja bei Debian hatte ich noch direkt das Browserbundle von torproject, und das lief auch mit Firejail. Werde ich dann auch auf MX wohl mal machen.

Mit LibreWolf muss ich mal schauen, teste das vllt nochmal auf einer anderen Distro. Bin auch noch nicht mit MX verheiratet, wollte als nächstes mal mit Arch spielen

Eisbaer167 · 11. November 2022 um 16:00

Ja: das bezieht sich auf firejail.
Ich werde App-Armor mal versuchsweise ausschalten.

seeket · 13. November 2022 um 18:07

Ich verwende Librewolf nicht. Dennoch einige Anmerkungen:

Welche Firejail-Version verwendest du? Die in Debian und MX könnte veraltet sein.
Die Zeile

firejail --profile=~/.config/firejail/librewolf.config librewolf

deutet darauf hin, dass du eben gerade nicht das mitgelieferte Standard-Profil benutzt, sondern ein modifiziertes in ~/.config/firejail. (Nebenbei: der --profile Schalter ist hier überflüssig, da Profile in ~/.config/firejail Vorrang vor denen in /etc/firejail haben.) Die Frage ist daher, welche Änderungen enthalten sind (die übrigens einfacher und übersichtlicher durch eine librewolf.local zu erzielen wären).
3. Hast du das aktuelle Profil getestet sowie ggfs. das aktuelle firefox-common.profile (das ja inkludiert ist)?

zaphod · 13. November 2022 um 21:56

ups, ja die Info hätte kommen sollen. Also die MX Repos liefern Version 0.9.64 (aktuell ist 0.9.70).
Und mein Snippet ist auch etwas irreführend, das Profil ist eine direkte Kopie von den „offiziellen“. Ich hatte das zwischenzeitlich genutzt, um einige Änderungen zu testen. Das Resultat war jedoch immer das gleiche.
jetzt gerade beide getestet, ohne Erfolg.

Tor Browser läuft jetzt btw wieder aus dem Paket von torproject im /home und Standard-Profil. Also verzichte ich wieder auf den Browser-Launcher von Debian

seeket · 14. November 2022 um 17:50

Hm, es gibt verschiedene Möglichkeiten, wie man das Problem angehen kann:

Anhand eines Vergleichs von firefox.profile und librewolf.profile würde ich mal probieren, in der ~/.config/firejail/librewolf.local folgende Zeilen einzufügen:

noblacklist ${RUNUSER}/*librewolf*
noblacklist ${RUNUSER}/psd/*librewolf*
whitelist ${RUNUSER}/*librewolf*
whitelist ${RUNUSER}/psd/*librewolf*

Die ~/.config/firejail/librewolf.profile bitte löschen oder zumindest umbenennen.
2. In journalctl | grep librewolf nach entsprechenden Fehlermeldungen suchen.
3. Wenn alles nichts hilft, in librewolf.profile mal eine Zeile nach der anderen kommentieren und Librewolf jedes Mal neu starten, um herauszufinden, welche der Bösewicht ist.

Eisbaer167 · 20. November 2022 um 17:36

Die Lösung war nicht apparmor, sondern dass Firefox bereits (mit firejail) laufen muss.
Dann werden Links, die im Thunderbird angeklickt werden korrekt im Firefox geöffnet.