[РЕШЕНО] Достижение нормальной работы firejail и apparmor.

Опрос

Вы используете подобные программы для выхода в Интернет?
Да.
Нет.
Не всегда.
Ни один из предложенных ответов не подходит.
vasek
в части firejail - ничего сказать не могу … не нравится мне эта примочка …
Аpparmor включен в дистрибутив (например) ubuntu, что предназначен изначально для бытовых персональных компьютеров, на замену windows. (Насколько я понимаю) Я же вижу в нём обеспечение безопасности работы главным образом серверных приложений. И, насколько я понимаю, ubuntu из коробки содержит много чего "на всякий случай". (Известно, это замедляет машину). У меня простой компьютер, just for entertainment (извините), спрятанный за провайдерским роутером, никакой ценной для других пользователей Интернета информации не содержит, да и встраивать в мою систему некий активный вредоносный программный код, думаю, несообразно и проблематично.
Загружать модуль безопасности в ядро значит замедлять, включать сервис безопасности в systemd — замедлять подавно.
Исходя из таких соображений мне понравилась идея "песочницы". Почему песочница требует установленного в систему apparmor (пусть даже не запущенного) я не знаю, значит, так надо. Но ведь на глаз никакой разницы работы браузеров не видно, поэтому можно пожертвовать и "песочницей". Единственное, она может запускать приложения так, чтобы не оставлять никаких следов на жестком диске и что-то подобное.
Благодарю за внимание.
немного денег и не попадать за решётку вот и всё, что требуется для жизни
vasek
reboot - при перегрузке зашел в меню grub и прописал apparmor=1 security=apparmor
systemctl status apparmor.service
● apparmor.service - Load AppArmor profiles
     Loaded: loaded (/usr/lib/systemd/system/apparmor.service; enabled; vendor preset: disabled)
     Active: active (exited)
Действительно всё работает. (Дело в перезагрузке. Я сначала установил параметры ядра, перезапустил систему и после установил и запустил apparmor.service.)

Добавил:
Нет, не в перезагрузке. После того, как попытался интегрировать firejail, сервис снова не запускается.
Команды apparmor_parser -C firejail-default и -R отвечают, что такого файла нет. Я действительно удалил такой файл, после этого apparmor.service нормально запустился.
немного денег и не попадать за решётку вот и всё, что требуется для жизни
Одно время пробовал использовать firejail , но как-то не зашло. А почти четрые года назад, когда приложение подверглось критике, отказался от этой идеи полностью.
vall
отказался от этой идеи полностью.
А сейчас используете "песочницу"?
azaqthoth
После того, как попытался интегрировать firejail, сервис снова не запускается.
Сегодня firejail обновился, создал файл firejail-default в папке /etc/apparmor.d (который я удалил ранее). "sudo aa-status" показывает загруженные 50 профилей, среди них — firejail. Теперь больше нет зомби процессов после выполнения "firejail --apparmor google-chrome-stable %U &". Кажется, всё работает, как предусмотрено.
Теперь удалю ненужные apparmor профили командой apparmor_parser -R, и будет то, что написано в названии темы. Я надеюсь)
немного денег и не попадать за решётку вот и всё, что требуется для жизни
azaqthoth
А сейчас используете "песочницу"?
Нет, не использую.
 
Зарегистрироваться или войдите чтобы оставить сообщение.