Discussion:
PDF aus Thunderbird drucken (Debian)
Add Reply
peterkanne
2024-11-03 11:44:52 UTC
Antworten
Permalink
Hallo,

Mein Problem: ich öffne ein angehängtes PDF einer Mail mit evince und
versuche das zu drucken.
Daraufhin hängt sich evince auf und muss gekillt werden. Gedruckt wird
natürlich nichts...

Mit dmesg erhalte ich folgende Einträge:

[227453.916589] audit: type=1400 audit(1730588416.887:123):
apparmor="DENIED" operation="capable" profile="/usr/sbin/cups-browsed"
pid=212935 comm="cups-browsed" capability=23 capname="sys_nice"
[239010.904242] Lockdown: fwupd: /dev/mem,kmem,port is restricted; see
man kernel_lockdown.7
[271725.772347] audit: type=1400 audit(1730632688.739:124):
apparmor="DENIED" operation="open" profile="/usr/bin/evince"
name="/etc/mate/defaults.list" pid=237940 comm="evince"
requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
[271992.498187] audit: type=1400 audit(1730632955.469:125):
apparmor="DENIED" operation="open" profile="/usr/bin/evince"
name="/etc/mate/defaults.list" pid=238188 comm="evince"
requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
[271997.610439] audit: type=1400 audit(1730632960.581:126):
apparmor="DENIED" operation="exec" profile="/usr/bin/evince"
name="/usr/lib/x86_64-linux-gnu/libproxy/0.4.17/pxgsettings" pid=238205
comm="sh" requested_mask="x" denied_mask="x" fsuid=1000 ouid=0
[272088.506215] audit: type=1400 audit(1730633051.476:127):
apparmor="DENIED" operation="open" profile="/usr/bin/evince"
name="/etc/mate/defaults.list" pid=238287 comm="evince"
requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
[272654.747523] audit: type=1400 audit(1730633617.715:128):
apparmor="DENIED" operation="exec" profile="/usr/bin/evince"
name="/usr/lib/x86_64-linux-gnu/libproxy/0.4.17/pxgsettings" pid=238753
comm="sh" requested_mask="x" denied_mask="x" fsuid=1000 ouid=0

Für mich sieht das so aus, als würde apparmor zuschlagen. Aber wie krieg
ich das weg?

Grüße!
Ulli Horlacher
2024-11-03 13:59:44 UTC
Antworten
Permalink
Post by peterkanne
Für mich sieht das so aus, als würde apparmor zuschlagen. Aber wie krieg
ich das weg?
apparmor deinstallieren. Das macht nichts als Aerger und produziert keine
brauchbare Fehlermeldungen.
Der Sicherheitsgewinn ist zudem fragwuerdig.
--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: ***@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/
Jörg Lorenz
2024-11-03 15:30:00 UTC
Antworten
Permalink
Post by Ulli Horlacher
Post by peterkanne
Für mich sieht das so aus, als würde apparmor zuschlagen. Aber wie krieg
ich das weg?
apparmor deinstallieren. Das macht nichts als Aerger und produziert keine
brauchbare Fehlermeldungen.
Der Sicherheitsgewinn ist zudem fragwuerdig.
Apparmor bin ich auf allen meinen Linux-Maschinen noch nie begegnet. Die
jüngsten Threads hier haben mich veranlasst mich zu informieren.

Die Funktionen sind so ziemlich, was eine Norton Security Suite auf
einem Windows-Rechner erbringt. Zumindest annähernd.

Den Sicherheitsgewinn von Apparmor sehe ich bei einer gut gemachten und
sicherheitsbewusst eingerichteten Linux-Distri nicht. Nicht
nachvollziehbare Probleme schon eher.
--
"Ave! Morituri te salutant!"
Ralph Aichinger
2024-11-03 18:35:27 UTC
Antworten
Permalink
Post by Jörg Lorenz
Die Funktionen sind so ziemlich, was eine Norton Security Suite auf
einem Windows-Rechner erbringt. Zumindest annähernd.
Nicht wirklich. AppArmor legt einfach gewisse Regeln fest, nach denen
manche Programme auf Dateien oder sonstige Ressourcen zugreifen dürfen.
Es ist eher ein Framework als ein Fertiges Programm (anders als Norton).
Post by Jörg Lorenz
Den Sicherheitsgewinn von Apparmor sehe ich bei einer gut gemachten und
sicherheitsbewusst eingerichteten Linux-Distri nicht.
Doch, kann schon Sinn ergeben. Vermutlich erst mal weniger beim
typischen Privatnutzer.
Post by Jörg Lorenz
Nicht
nachvollziehbare Probleme schon eher.
Wir haben hier im de-Usenet gerade 2 Threads mit Problemen rund um
AppArmor gehabt, und bei beiden war sofort klar, was das Problem war,
bei beiden ist im Log "AppArmor" erwähnt worden. "Nicht nachvollziehbar"
ist bei mir was anderes.

/ralph
Urs Janßen
2024-11-03 18:58:39 UTC
Antworten
Permalink
Post by Ralph Aichinger
Nicht wirklich. AppArmor legt einfach gewisse Regeln fest, nach denen
manche Programme auf Dateien oder sonstige Ressourcen zugreifen dürfen.
wer pflegt denn die regeln? zeitnah? fuer alle anwendungen der distribution?
auf den endbenutzer abwaelzen? der schaltet das dann einfach ab.
auf $anwendungs-upsteam hoffen? wird nicht klappen... auf apparmor-upsteam
hoffen? klappt auch nicht ...
Post by Ralph Aichinger
Es ist eher ein Framework als ein Fertiges Programm (anders als Norton).
wenn den endbenutzer die reglen erstellen/pflegen soll, sollte man ihm das
halt nicht ungefragt vor die nase klatschen, wenn es es bewusst haben will:
selber schuld.
Post by Ralph Aichinger
Doch, kann schon Sinn ergeben. Vermutlich erst mal weniger beim
typischen Privatnutzer.
eben.
Post by Ralph Aichinger
Wir haben hier im de-Usenet gerade 2 Threads mit Problemen rund um
AppArmor gehabt, und bei beiden war sofort klar, was das Problem war,
und mind. das eine problem existiert wohl schon seit jahren.
Ralph Aichinger
2024-11-03 19:09:47 UTC
Antworten
Permalink
Post by Urs Janßen
wer pflegt denn die regeln? zeitnah? fuer alle anwendungen der distribution?
In der Praxis vermutlich ja. Oder ein Sysadmin in Unternehmen, wenn die
besondere Sicherheitsbedürfnisse haben.
Post by Urs Janßen
auf den endbenutzer abwaelzen?
Halte ich für nicht realistisch.
Post by Urs Janßen
der schaltet das dann einfach ab.
Ja.
Post by Urs Janßen
auf $anwendungs-upsteam hoffen? wird nicht klappen...
Kann klappen bei sicherheitsrelevanten/"paranoiden" Andwendungen. Oder
bei solchen die voller Lücken sind ;)
Post by Urs Janßen
auf apparmor-upsteam
hoffen? klappt auch nicht ...
Ja, weniger.
Post by Urs Janßen
Post by Ralph Aichinger
Es ist eher ein Framework als ein Fertiges Programm (anders als Norton).
wenn den endbenutzer die reglen erstellen/pflegen soll, sollte man ihm das
selber schuld.
Ich halte das nicht für Enduser-tauglich. Überall dort wo das jetzt
vom Distributor schrittweise aufgedreht wird, ist das als ein iteratives
Rantasten an eine praktikable Nutzung zu sehen, IMHO.
Post by Urs Janßen
Post by Ralph Aichinger
Wir haben hier im de-Usenet gerade 2 Threads mit Problemen rund um
AppArmor gehabt, und bei beiden war sofort klar, was das Problem war,
und mind. das eine problem existiert wohl schon seit jahren.
Ja, wobei AppArmor und das Konkurrenzframework SELinux halt auch langsam
von der Stelle bewegt. Gefühlt wird AppArmor populärer, aber ich könnte
jetzt auch nicht sagen, wie sich die beiden Frameworks bezüglich
Verbreitung entwickeln.

/ralph
Ralph Aichinger
2024-11-03 19:26:49 UTC
Antworten
Permalink
Post by Urs Janßen
wer pflegt denn die regeln? zeitnah?
Sorry, zuerst das "zeitnah" übersehen. Ich denke nicht, dass das die
Idee dahinter ist. AppArmor ist anders als ein Virenscanner nicht dazu
gedacht auf bestimmte Malware abgestimmt zu werden, sondern einfach ein
etwas detaillierteres Permission-Framework. Es muß auch niemand
"zeitnah" festlegen, dass nginx mit Permissions -rwxr-xr-x als root
läuft. Sondern das macht man einmal. Und wenn man draufkommt, dass es
vielleicht besser wäre ihn als User "nginx" oder "web" laufen zu lassen,
dann macht man halt das. Kein "zeitnah" notwendig.

Genau wie Permissions oder Capabilities ist AppArmor einfach ein
weiterer Baustein um Programme mittels Einschränkungen auf das
einzugrenzen, was sie wirklich tun müssen, und nicht mehr.

AppArmor scheint mir eines der erfolgreicheren Frameworks in diese
Richtung zu sein, und sich weiter zu verbreiten, aber vielleicht täusch
ich mich.

Und ja, natürlich gibt es manchmal Brösel. Das wird sich im Laufe der
Zeit lösen. Bis alle 20.000 (oder wieviel auch immer) Packages von
Debian mit so einem Framework gut zusammenspielen dauert es.

/ralph
Richard Lechner
2024-11-04 05:34:10 UTC
Antworten
Permalink
Post by Ralph Aichinger
AppArmor scheint mir eines der erfolgreicheren Frameworks in diese
Richtung zu sein, und sich weiter zu verbreiten, aber vielleicht täusch
ich mich.
Vielleicht weil es ungefragt installiert wird und du die Kacke nicht mehr
los wirst?!

apt remove apparmor
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
Die folgenden Pakete werden ENTFERNT:
apparmor gnome-software-plugin-snap snapd
0 aktualisiert, 0 neu installiert, 3 zu entfernen und 18 nicht
aktualisiert.
Nach dieser Operation werden 114 MB Plattenplatz freigegeben.
Möchten Sie fortfahren? [J/n] n
Abbruch.

Gigabytes an Software deren Zusammenspiel wie durch Zauber funktioniert,
dafür jede Menge längst bekannte Fehler! Und immer noch können sich
Fenster teilweise weder Position noch Grösse merken, geschweige denn die
Meldungsfenstergrösse richtig an die Schriftgrösse anpassen. Vom
Schriftumbruch im Dateimanager wollen wir gar nicht reden! Da fehlt
einfach ein Steve Jobs der von Schriften und Darstellung fasziniert war!
Ralph Aichinger
2024-11-04 05:52:01 UTC
Antworten
Permalink
Post by Richard Lechner
Post by Ralph Aichinger
AppArmor scheint mir eines der erfolgreicheren Frameworks in diese
Richtung zu sein, und sich weiter zu verbreiten, aber vielleicht täusch
ich mich.
Vielleicht weil es ungefragt installiert wird und du die Kacke nicht mehr
los wirst?!
Hä? Unten zeigst du ja eine Möglichkeit wie das geht?
Post by Richard Lechner
apt remove apparmor
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
apparmor gnome-software-plugin-snap snapd
^^^^^
Dir ist schon klar, was snap ist/macht?

Apparmor hat eine "installed size" von 2,567.0 kB
Post by Richard Lechner
0 aktualisiert, 0 neu installiert, 3 zu entfernen und 18 nicht
aktualisiert.
Nach dieser Operation werden 114 MB Plattenplatz freigegeben.
Möchten Sie fortfahren? [J/n] n
Abbruch.
Gigabytes an Software deren Zusammenspiel wie durch Zauber funktioniert,
2,567.0 kB
Post by Richard Lechner
dafür jede Menge längst bekannte Fehler! Und immer noch können sich
Fenster teilweise weder Position noch Grösse merken, geschweige denn die
Das hat mit AppArmor zu tun? Glaub ich weniger.

Snap ist was ganz anderes als AppArmor.

/ralph
Richard Lechner
2024-11-04 05:58:00 UTC
Antworten
Permalink
Post by Ralph Aichinger
Post by Richard Lechner
Vielleicht weil es ungefragt installiert wird und du die Kacke nicht
mehr los wirst?!
Hä? Unten zeigst du ja eine Möglichkeit wie das geht?
Ja aber wie du siehst geht es nur wenn ich auch Snap lösche! Das brauche
ich aber wegen der Software die es da gibt und bei Debian/Mint nicht.
Post by Ralph Aichinger
Post by Richard Lechner
apt remove apparmor Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig Statusinformationen werden
apparmor gnome-software-plugin-snap snapd
^^^^^
Dir ist schon klar, was snap ist/macht?
Installiert und geht, Software ohne Kopfweh?
Ralph Aichinger
2024-11-04 06:07:11 UTC
Antworten
Permalink
Post by Richard Lechner
Ja aber wie du siehst geht es nur wenn ich auch Snap lösche! Das brauche
ich aber wegen der Software die es da gibt und bei Debian/Mint nicht.
Das ist aber dann die Schuld von Snap, nicht von AppArmor. Ubuntu steht
hinter beidem und zieht halt über Snap AppArmor rein.
Post by Richard Lechner
Post by Ralph Aichinger
Dir ist schon klar, was snap ist/macht?
Installiert und geht, Software ohne Kopfweh?
Ja, dafür hast du halt praktisch ein halbes Ubuntu im Container
mitgeliefert. Mit AppArmour (und vielen anderen Sachen). Und das braucht
halt viel Plattenplatz. Und ist nicht die Schuld von AppArmor. Das ist
klein.

/ralph
Marte Schwarz
2024-11-04 07:45:24 UTC
Antworten
Permalink
Hi Richard,
Post by Richard Lechner
Post by Ralph Aichinger
Post by Richard Lechner
Vielleicht weil es ungefragt installiert wird und du die Kacke nicht
mehr los wirst?!
Hä? Unten zeigst du ja eine Möglichkeit wie das geht?
Ja aber wie du siehst geht es nur wenn ich auch Snap lösche! Das brauche
ich aber wegen der Software die es da gibt und bei Debian/Mint nicht.
Post by Ralph Aichinger
Post by Richard Lechner
apt remove apparmor Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig Statusinformationen werden
apparmor gnome-software-plugin-snap snapd
^^^^^
Dir ist schon klar, was snap ist/macht?
apt ist offenbar der Meinung, dass snap ausser von Apparmor nicht
gebraucht wird. Bist Du Dir wirklich sicher, dass ausser Apparmor noch
ein Programm auf snap aufsetzt?

Marte
Richard Lechner
2024-11-04 09:53:50 UTC
Antworten
Permalink
Post by Marte Schwarz
apt ist offenbar der Meinung, dass snap ausser von Apparmor nicht
gebraucht wird. Bist Du Dir wirklich sicher, dass ausser Apparmor noch
ein Programm auf snap aufsetzt?
snap list | wc -l
16

Glaub da ist schon was dabei was ich verwende, neben dem snapeigenen
Zeugs.

:-)
Marte Schwarz
2024-11-04 11:43:55 UTC
Antworten
Permalink
Hi Richard,
Post by Richard Lechner
snap list | wc -l
16
Glaub da ist schon was dabei was ich verwende, neben dem snapeigenen
Zeugs.
Glaubst Du oder weißt Du und kannst nicht ohne? Ich komme bisher ganz
gut ohne snap, & co aus. Bisher hab ich immer eine passende apt gefunden.

Marte
Marc Haber
2024-11-05 16:19:16 UTC
Antworten
Permalink
Post by Marte Schwarz
Bisher hab ich immer eine passende apt gefunden.
Bitte keine Begriffe erfinden. Das ist ja fast so schlimm wie "bei
Wiki". Danke für die Beachtung der Sicherheitsmaßnahmen.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Ralph Aichinger
2024-11-05 17:56:53 UTC
Antworten
Permalink
Post by Marc Haber
Post by Marte Schwarz
Bisher hab ich immer eine passende apt gefunden.
Bitte keine Begriffe erfinden. Das ist ja fast so schlimm wie "bei
Wiki". Danke für die Beachtung der Sicherheitsmaßnahmen.
Zumindest stirbt Jargon mit "die Soft" und "funzt" wieder aus.

/ralph
Arno Welzel
2024-11-07 16:53:30 UTC
Antworten
Permalink
Post by Marc Haber
Post by Marte Schwarz
Bisher hab ich immer eine passende apt gefunden.
Bitte keine Begriffe erfinden. Das ist ja fast so schlimm wie "bei
Wiki". Danke für die Beachtung der Sicherheitsmaßnahmen.
"bei Wiki" ist es noch halbwegs nachvollziehbar als "bei Wikipedia",
weil Leute keine anderen Wikis kennen und gerne abkürzen - wie etwa
"sag' mal mal dein Insta", wenn sie "Instagram-Account" meinen.
--
Arno Welzel
https://arnowelzel.de
Arno Welzel
2024-11-07 16:51:41 UTC
Antworten
Permalink
Post by Marte Schwarz
Hi Richard,
Post by Richard Lechner
snap list | wc -l
16
Glaub da ist schon was dabei was ich verwende, neben dem snapeigenen
Zeugs.
Glaubst Du oder weißt Du und kannst nicht ohne? Ich komme bisher ganz
gut ohne snap, & co aus. Bisher hab ich immer eine passende apt gefunden.
Was ist "passende apt"?
--
Arno Welzel
https://arnowelzel.de
Richard Lechner
2024-11-10 12:50:34 UTC
Antworten
Permalink
Post by Marte Schwarz
Glaubst Du oder weißt Du und kannst nicht ohne? Ich komme bisher ganz
gut ohne snap, & co aus. Bisher hab ich immer eine passende apt gefunden.
Naja bei 16 Stück installiert wird das ziemlich sicher nicht umsonst drauf
sein. Smiley nicht gesehen?

Nur als Beispiel habe ich Teams im Einsatz, nicht freiwillig aber ich
brauche es nunmal. Snapstore machst du install und läuft, habe keine Lust
mir im Git was zu suchen was dann dauernd nicht mehr geht weil wieder was
neu ist. (Ok gibt es auch als Flatpack aber da spar ich mir nichts an
Platz)

Ich bin da mehr Anwender, zum basteln ist mir die Lebenszeit zu kostbar
geworden, wird ja immer weniger! :-(

Geht der Platz aus kaufe ich eben eine neue SSD rein, ist billiger als
meine Zeit zu vergeuden.
Peter J. Holzer
2024-11-10 14:57:04 UTC
Antworten
Permalink
Post by Richard Lechner
Nur als Beispiel habe ich Teams im Einsatz, nicht freiwillig aber ich
brauche es nunmal. Snapstore machst du install und läuft,
Im Browser[1] gibt man den URL ein und läuft.

Dass es das im Snapstore gibt, wusste ich nicht mal. Es gab mal bei MS
.deb-Pakete, aber die wurden irgendwann nicht mehr upgedatet und zu dem
Zeitpunkt hatte die Browser-Version dann schon den vollen[2]
Funktionsumfang.

hp

[1] Ich verwende dafür meistens Chrome, aber Firefox geht auch.
[2] Es gibt ein paar kleine Unterschiede zur Windows-Variante, aber die
gab es auch zwischen der Windows-Variante und der "nativen"[3]
Linux-Variante.
[3] Elecron, glaube ich.
Joerg Walther
2024-11-10 15:37:54 UTC
Antworten
Permalink
Post by Peter J. Holzer
Post by Richard Lechner
Nur als Beispiel habe ich Teams im Einsatz, nicht freiwillig aber ich
brauche es nunmal. Snapstore machst du install und läuft,
Im Browser[1] gibt man den URL ein und läuft.
Ich habe das hier auch als Snap laufen und muss sagen, dass es deutlich
flüssiger läuft als im Browser, auch wenn wahrscheinlich im Hintergrund
auch ein Browser werkelt, aber wohl nicht nur:

teams-for-linux 1.11.3 708
latest/stable ismaelmartinez -
Post by Peter J. Holzer
Dass es das im Snapstore gibt, wusste ich nicht mal. Es gab mal bei MS
.deb-Pakete, aber die wurden irgendwann nicht mehr upgedatet und zu dem
Zeitpunkt hatte die Browser-Version dann schon den vollen[2]
Funktionsumfang.
M$ hat das irgendwann eingestellt, die private Weiterentwicklung gibt es
als Snap und als Flatpak, zu finden jetzt auch bei den
Ubuntu-Anwendungen, an letzterer Stelle imho erst seit kurzem unter dem
Namen "Portal for Teams".

-jw-
--
And now for something completely different...
Richard Lechner
2024-11-11 16:16:42 UTC
Antworten
Permalink
Post by Peter J. Holzer
Im Browser[1] gibt man den URL ein und läuft.
Dass es das im Snapstore gibt, wusste ich nicht mal. Es gab mal bei MS
.deb-Pakete, aber die wurden irgendwann nicht mehr upgedatet und zu dem
Zeitpunkt hatte die Browser-Version dann schon den vollen[2]
Funktionsumfang.
Ja das mit dem Browser mag schon sein, aber wie gesagt ich habe auch
anders im Einsatz. Weasis ist noch so ein Kandidat, mag es im Git geben
aber wozu basteln wenn es einen Store gibt bzw Flatpack, installiert und
geht.

Gerade Rustdesk aktualisiert, manuell, bei Anydesk geschied das über
Flatpack. Haben schon Vorteile so Verwaltungssysteme, sonst würde das
ausarten mit den Updates.

Chrome und Opera kommen hier über Flatpack rein, ist bei Mint sonst nicht
dabei wenn ich meinem System glauben darf.

Also Snapstore und Flatpack würde ich jedem Anfänger empfehlen, dann ist
das wenig Aufwand sein System aktuell zu halten, die meisten verwenden
den
Computer ja um eine Task zu erledigen und nicht um am System zu schrauben.
Bleibt eh noch genug Ärger mit USB3-Hardware und Linux und die
Verschlimmbesserungen wie Apparmor! :-(

Jörg Lorenz
2024-11-04 12:37:19 UTC
Antworten
Permalink
Post by Richard Lechner
Post by Ralph Aichinger
Post by Richard Lechner
Vielleicht weil es ungefragt installiert wird und du die Kacke nicht
mehr los wirst?!
Hä? Unten zeigst du ja eine Möglichkeit wie das geht?
Ja aber wie du siehst geht es nur wenn ich auch Snap lösche! Das brauche
ich aber wegen der Software die es da gibt und bei Debian/Mint nicht.
Die da wäre?
--
"Ave! Morituri te salutant!"
Jörg Lorenz
2024-11-04 12:35:03 UTC
Antworten
Permalink
Post by Ralph Aichinger
Post by Richard Lechner
Post by Ralph Aichinger
AppArmor scheint mir eines der erfolgreicheren Frameworks in diese
Richtung zu sein, und sich weiter zu verbreiten, aber vielleicht täusch
ich mich.
Vielleicht weil es ungefragt installiert wird und du die Kacke nicht mehr
los wirst?!
Hä? Unten zeigst du ja eine Möglichkeit wie das geht?
Post by Richard Lechner
apt remove apparmor
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
apparmor gnome-software-plugin-snap snapd
^^^^^
Dir ist schon klar, was snap ist/macht?
Das würde ja bedeuten, dass Ubuntu Apparmor mitbringt?
Ich bin von meiner Ubuntu-Maschine im Moment sehr weit weg. Sobald ich
wieder Zugriff habe, werde ich das mal etwas genauer ansehen.

Der Ubuntu-Abkömmling Mint Cinnamon 22 hat das Teil nicht an Bord.

Jörg
--
"Ave! Morituri te salutant!"
Jörg Lorenz
2024-11-04 12:44:04 UTC
Antworten
Permalink
Post by Jörg Lorenz
Post by Ralph Aichinger
Post by Richard Lechner
Post by Ralph Aichinger
AppArmor scheint mir eines der erfolgreicheren Frameworks in diese
Richtung zu sein, und sich weiter zu verbreiten, aber vielleicht täusch
ich mich.
Vielleicht weil es ungefragt installiert wird und du die Kacke nicht mehr
los wirst?!
Hä? Unten zeigst du ja eine Möglichkeit wie das geht?
Post by Richard Lechner
apt remove apparmor
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
apparmor gnome-software-plugin-snap snapd
^^^^^
Dir ist schon klar, was snap ist/macht?
Das würde ja bedeuten, dass Ubuntu Apparmor mitbringt?
Ich bin von meiner Ubuntu-Maschine im Moment sehr weit weg. Sobald ich
wieder Zugriff habe, werde ich das mal etwas genauer ansehen.
Der Ubuntu-Abkömmling Mint Cinnamon 22 hat das Teil nicht an Bord.
Das ist flasch. Habe nochmals nachgegraben:

Loading Image...
--
"Ave! Morituri te salutant!"
Ralph Aichinger
2024-11-04 12:59:08 UTC
Antworten
Permalink
Post by Jörg Lorenz
Das würde ja bedeuten, dass Ubuntu Apparmor mitbringt?
Ja, tut es. Bei Ubuntu per Default installiert und aktiviert.

/ralph
Jörg Lorenz
2024-11-04 13:15:19 UTC
Antworten
Permalink
Post by Ralph Aichinger
Post by Jörg Lorenz
Das würde ja bedeuten, dass Ubuntu Apparmor mitbringt?
Ja, tut es. Bei Ubuntu per Default installiert und aktiviert.
Wie mein Bild zu Mint zeigt, ist es aber sogar auf der GUI-Ebene
deinstallierbar.
--
"Ave! Morituri te salutant!"
Ralph Aichinger
2024-11-04 13:36:12 UTC
Antworten
Permalink
Post by Jörg Lorenz
Post by Ralph Aichinger
Ja, tut es. Bei Ubuntu per Default installiert und aktiviert.
Wie mein Bild zu Mint zeigt, ist es aber sogar auf der GUI-Ebene
deinstallierbar.
Wie so ziemlich jede andere Software auch. Trotzdem setzt Ubuntu
seit Jahren stark auf Apparmor, und Derivate übernehmen es. Bei Debian
ist die Integration gefühlt noch etwas zögernder, wobei ich denke, dass
es auch immer mehr wird.

Ich glaub schon, dass sich da langsam die Ecken und Kanten abschleifen
und das ganz alltäglich benutzbar wird.

/ralph
Olaf Skibbe
2024-11-04 22:38:38 UTC
Antworten
Permalink
Bei Debian ist die Integration gefühlt noch etwas zögernder, wobei ich denke, dass
es auch immer mehr wird.
Es wird anscheinend auch von Debian zum Kernel empfohlen:

# aptitude purge apparmor
The following packages will be REMOVED:
apparmor{p}
0 packages upgraded, 0 newly installed, 1 to remove and 0 not upgraded.
Need to get 0 B of archives. After unpacking 2,629 kB will be freed.
The following packages have unmet dependencies:
apparmor-utils : Depends: apparmor but it is not going to be installed
The following actions will resolve these dependencies:

Remove the following packages:
1) apparmor-utils [3.0.8-3 (now, stable)]

Leave the following dependencies unresolved:
2) linux-image-6.1.0-25-amd64 recommends apparmor
3) libreoffice-common recommends apparmor (>= 2.13.1~)
4) linux-image-6.1.0-26-amd64 recommends apparmor
Ich glaub schon, dass sich da langsam die Ecken und Kanten abschleifen
und das ganz alltäglich benutzbar wird.
Mir fiel es beim Versuch auf, ein Profil von TB auf mehreren Geräten (4)
zu verwenden. Das wollte apparmor auf einem Gerät nicht (auf den anderen
3 ging es). Das sind alles Debian stable mit XFCE. Warum das apparmor da
drauf ist (bzw. war), weiß ich nicht. Bewußt installiert habe ich es nicht.

Grüße
Olaf
Jens Schuessler
2024-11-05 09:12:39 UTC
Antworten
Permalink
Post by Olaf Skibbe
Bei Debian ist die Integration gefühlt noch etwas zögernder, wobei ich denke, dass
es auch immer mehr wird.
# aptitude purge apparmor
apparmor{p}
0 packages upgraded, 0 newly installed, 1 to remove and 0 not upgraded.
Need to get 0 B of archives. After unpacking 2,629 kB will be freed.
apparmor-utils : Depends: apparmor but it is not going to be installed
1) apparmor-utils [3.0.8-3 (now, stable)]
2) linux-image-6.1.0-25-amd64 recommends apparmor
3) libreoffice-common recommends apparmor (>= 2.13.1~)
4) linux-image-6.1.0-26-amd64 recommends apparmor
Ich glaub schon, dass sich da langsam die Ecken und Kanten abschleifen
und das ganz alltäglich benutzbar wird.
Mir fiel es beim Versuch auf, ein Profil von TB auf mehreren Geräten (4)
zu verwenden. Das wollte apparmor auf einem Gerät nicht (auf den anderen
3 ging es). Das sind alles Debian stable mit XFCE. Warum das apparmor da
drauf ist (bzw. war), weiß ich nicht. Bewußt installiert habe ich es nicht.
Die Antwort hast du dir wahrscheinlich oben selbst schon gegeben.
Recommends waren nicht abgeschaltet.
Christian Garbs
2024-11-03 19:52:39 UTC
Antworten
Permalink
Mahlzeit!
Post by Urs Janßen
Post by Ralph Aichinger
Nicht wirklich. AppArmor legt einfach gewisse Regeln fest, nach denen
manche Programme auf Dateien oder sonstige Ressourcen zugreifen dürfen.
wer pflegt denn die regeln? zeitnah? fuer alle anwendungen der
distribution?
Wenn eine Distribution AppArmor-Regeln ausliefert, dann sollten die
auch richtig sein und nicht erst durch den User angepasst werden
müssen. Das ist ja bei anderen Dingen wie Cronjobs, Initskripten
bzw. systemd-Units und logrotate-Konfigurationen genauso.

Also ist der Paketmaintainer zuständig.

"Zeitnah" ist relativ - das muss halt im Zuge einer neuen Paketversion
mit aktualisiert werden. Wie schnell und wie oft die Pakete
aktualisiert werden, hängt von der Distribution ab.


Zumindest bei Debian muss das opt-in sein, denn ich habe noch keinen
Massen-Bug "kein AppArmor-Profil vorhanden" über alle Pakete gesehen.

Wer das als Maintainer freiwillig in sein Paket einbaut, muss es dann
halt auch pflegen. Der redshift-Bug rührt wohl daher, dass es
mehrere Stellen für das Configfile gibt und wir jetzt wissen, welche
davon der Maintainer nicht benutzt¹ ;-)

Gruß
Christian

¹) Falls er überhaupt ein Configfile benutzt – ich habe mich
gewundert, warum mein redshift keinen Fehler hat, aber ich rufe es
direkt aus der ~/.xinitrc auf und übergebe die gesamte Konfiguration
direkt als Kommandozeilenparameter.
--
....Christian.Garbs....................................https://www.cgarbs.de
Law of the Perversity of Nature:
You cannot successfully determine beforehand which side of the
bread to butter.
Urs Janßen
2024-11-03 21:31:01 UTC
Antworten
Permalink
Post by Christian Garbs
halt auch pflegen. Der redshift-Bug rührt wohl daher, dass es
jemand die "XDG Base Directory Specification" (ok, wer sich das ausgedacht
hat gehoert auch geschlagen - can of worms) nicht gelesen oder nicht
verstanden hat aber trotzdem versucht hat irgendwas davon umzusetzten.
Bernd
2024-11-04 06:47:40 UTC
Antworten
Permalink
Post by Ulli Horlacher
Post by peterkanne
Für mich sieht das so aus, als würde apparmor zuschlagen. Aber wie krieg
ich das weg?
apparmor deinstallieren. Das macht nichts als Aerger und produziert keine
brauchbare Fehlermeldungen.
Der Sicherheitsgewinn ist zudem fragwuerdig.
"Wat d bua nit kennt datt fritte nich." ;-)


# man apparmor

<https://wiki.apparmor.net>

RTFM ist doch sonst immer das erste was man hört.

...
Mein Weg in solchen (seltenen) Fällen: ... Apparmor abschalten; Schauen
ob das Problem noch auftritt; Wenn nicht, dann ein Profil für diese App
in Apparmor anlegen; Wenn das Problem trotz abgeschaltetem Apparmor
auftritt ... woanders suchen ...



Bernd
Gregor Szaktilla
2024-11-03 22:17:25 UTC
Antworten
Permalink
Post by peterkanne
Mein Problem: ich öffne ein angehängtes PDF einer Mail mit evince und
versuche das zu drucken.
Daraufhin hängt sich evince auf und muss gekillt werden. Gedruckt wird
natürlich nichts...
Hast Du auch schon andere Programme als evince ausprobiert? Kannst Du es
drucken, wenn Du das PDF z.B. in Firefox öffnest?

Gruß

Gregor
--
Dreck ist Materie am falschen Platz. (Schotty)
gunter-kuehne
2024-11-04 08:23:25 UTC
Antworten
Permalink
Post by Gregor Szaktilla
Post by peterkanne
Mein Problem: ich öffne ein angehängtes PDF einer Mail mit evince und
versuche das zu drucken.
Daraufhin hängt sich evince auf und muss gekillt werden. Gedruckt wird
natürlich nichts...
Hast Du auch schon andere Programme als evince ausprobiert? Kannst Du es
drucken, wenn Du das PDF z.B. in Firefox öffnest?
Gruß
Gregor
Komisch das hier niemand Okular erwähnt. Das funktioniert fast so gut
wie das originale Acrobat.
Natürlich bei dem schlangenöl und überhaupt dem Nutzer Druckrechte
einräumen.
Ansonsten probiere doch mal den Befehl mit sudo zu starten.
--
Kleinmut und Stolz, aus diesem Holz
Schuf der Mensch sich am sechsten Tag Gott.
Urs Janßen
2024-11-04 10:16:09 UTC
Antworten
Permalink
Post by gunter-kuehne
Ansonsten probiere doch mal den Befehl mit sudo zu starten.
klar, das ist ja auch so viel sicherer als apparmor zu stoppen (oder ihm
lese rechte auf /etc/mate/* zu geben).
gunter-kuehne
2024-11-05 10:11:47 UTC
Antworten
Permalink
Post by Urs Janßen
Post by gunter-kuehne
Ansonsten probiere doch mal den Befehl mit sudo zu starten.
klar, das ist ja auch so viel sicherer als apparmor zu stoppen (oder ihm
lese rechte auf /etc/mate/* zu geben).
Das war ja auch nicht als Dauerlösung gedacht, sondern um
herauszubekommen ab eventuell an der Rechteverteilung was falsch ist.
--
Kleinmut und Stolz, aus diesem Holz
Schuf der Mensch sich am sechsten Tag Gott.
Lesen Sie weiter auf narkive:
Loading...