azaqthoth Сообщения

azaqthoth	# 1 год, 10 месяцев назад (отредактировано 1 год, 10 месяцев назад)
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	vall отказался от этой идеи полностью. А сейчас используете "песочницу"? azaqthoth После того, как попытался интегрировать firejail, сервис снова не запускается. Сегодня firejail обновился, создал файл firejail-default в папке /etc/apparmor.d (который я удалил ранее). "sudo aa-status" показывает загруженные 50 профилей, среди них — firejail. Теперь больше нет зомби процессов после выполнения "firejail --apparmor google-chrome-stable %U &". Кажется, всё работает, как предусмотрено. Теперь удалю ненужные apparmor профили командой apparmor_parser -R, и будет то, что написано в названии темы. Я надеюсь) немного денег и не попадать за решётку вот и всё, что требуется для жизни

# 1 год, 10 месяцев назад (отредактировано 1 год, 10 месяцев назад)

Сообщения: 112

Участник с: 08 февраля 2012

vall
отказался от этой идеи полностью.

А сейчас используете "песочницу"?

azaqthoth
После того, как попытался интегрировать firejail, сервис снова не запускается.

Сегодня firejail обновился, создал файл firejail-default в папке /etc/apparmor.d (который я удалил ранее). "sudo aa-status" показывает загруженные 50 профилей, среди них — firejail. Теперь больше нет зомби процессов после выполнения "firejail --apparmor google-chrome-stable %U &". Кажется, всё работает, как предусмотрено.
Теперь удалю ненужные apparmor профили командой apparmor_parser -R, и будет то, что написано в названии темы. Я надеюсь)

немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth	# 1 год, 10 месяцев назад (отредактировано 1 год, 10 месяцев назад)
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	vasek reboot - при перегрузке зашел в меню grub и прописал apparmor=1 security=apparmor `systemctl status apparmor.service ● apparmor.service - Load AppArmor profiles Loaded: loaded (/usr/lib/systemd/system/apparmor.service; enabled; vendor preset: disabled) Active: active (exited)` Действительно всё работает. (Дело в перезагрузке. Я сначала установил параметры ядра, перезапустил систему и после установил и запустил apparmor.service.) Добавил: Нет, не в перезагрузке. После того, как попытался интегрировать firejail, сервис снова не запускается. Команды apparmor_parser -C firejail-default и -R отвечают, что такого файла нет. Я действительно удалил такой файл, после этого apparmor.service нормально запустился. немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth

# 1 год, 10 месяцев назад (отредактировано 1 год, 10 месяцев назад)

Темы: 12

Сообщения: 112

Участник с: 08 февраля 2012

vasek
reboot - при перегрузке зашел в меню grub и прописал apparmor=1 security=apparmor

systemctl status apparmor.service
● apparmor.service - Load AppArmor profiles
     Loaded: loaded (/usr/lib/systemd/system/apparmor.service; enabled; vendor preset: disabled)
     Active: active (exited)

Действительно всё работает. (Дело в перезагрузке. Я сначала установил параметры ядра, перезапустил систему и после установил и запустил apparmor.service.)

Добавил:
Нет, не в перезагрузке. После того, как попытался интегрировать firejail, сервис снова не запускается.
Команды apparmor_parser -C firejail-default и -R отвечают, что такого файла нет. Я действительно удалил такой файл, после этого apparmor.service нормально запустился.

немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth	# 1 год, 10 месяцев назад (отредактировано 1 год, 10 месяцев назад)
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	vasek в части firejail - ничего сказать не могу … не нравится мне эта примочка … Аpparmor включен в дистрибутив (например) ubuntu, что предназначен изначально для бытовых персональных компьютеров, на замену windows. (Насколько я понимаю) Я же вижу в нём обеспечение безопасности работы главным образом серверных приложений. И, насколько я понимаю, ubuntu из коробки содержит много чего "на всякий случай". (Известно, это замедляет машину). У меня простой компьютер, just for entertainment (извините), спрятанный за провайдерским роутером, никакой ценной для других пользователей Интернета информации не содержит, да и встраивать в мою систему некий активный вредоносный программный код, думаю, несообразно и проблематично. Загружать модуль безопасности в ядро значит замедлять, включать сервис безопасности в systemd — замедлять подавно. Исходя из таких соображений мне понравилась идея "песочницы". Почему песочница требует установленного в систему apparmor (пусть даже не запущенного) я не знаю, значит, так надо. Но ведь на глаз никакой разницы работы браузеров не видно, поэтому можно пожертвовать и "песочницей". Единственное, она может запускать приложения так, чтобы не оставлять никаких следов на жестком диске и что-то подобное. Благодарю за внимание. немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth

# 1 год, 10 месяцев назад (отредактировано 1 год, 10 месяцев назад)

Темы: 12

Сообщения: 112

Участник с: 08 февраля 2012

vasek
в части firejail - ничего сказать не могу … не нравится мне эта примочка …

Аpparmor включен в дистрибутив (например) ubuntu, что предназначен изначально для бытовых персональных компьютеров, на замену windows. (Насколько я понимаю) Я же вижу в нём обеспечение безопасности работы главным образом серверных приложений. И, насколько я понимаю, ubuntu из коробки содержит много чего "на всякий случай". (Известно, это замедляет машину). У меня простой компьютер, just for entertainment (извините), спрятанный за провайдерским роутером, никакой ценной для других пользователей Интернета информации не содержит, да и встраивать в мою систему некий активный вредоносный программный код, думаю, несообразно и проблематично.
Загружать модуль безопасности в ядро значит замедлять, включать сервис безопасности в systemd — замедлять подавно.
Исходя из таких соображений мне понравилась идея "песочницы". Почему песочница требует установленного в систему apparmor (пусть даже не запущенного) я не знаю, значит, так надо. Но ведь на глаз никакой разницы работы браузеров не видно, поэтому можно пожертвовать и "песочницей". Единственное, она может запускать приложения так, чтобы не оставлять никаких следов на жестком диске и что-то подобное.
Благодарю за внимание.

немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth	# 1 год, 10 месяцев назад (отредактировано 1 год, 10 месяцев назад)
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	vasek в выводе aa-status присутствует firejail ??? Нет. И его не было, кажется, с самого начала. После я удалил почти все профили командой rm (скорее всего, некорректно), и теперь вообще ничего не показывает, кроме того, что сам модуль загружен. Хотя, непонятно: в /etc/apparmor.d есть ещё файлы. Вообще собираюсь переустановить apparmor, стереть все конфигурационные файлы, установить его заново, не как зависимость. А то запутался уже. Делал вот так `# apparmor_parser -r /etc/apparmor.d/firejail-default` получалось `Found reference to variable run, but is never declared` немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth

# 1 год, 10 месяцев назад (отредактировано 1 год, 10 месяцев назад)

Темы: 12

Сообщения: 112

Участник с: 08 февраля 2012

vasek
в выводе aa-status присутствует firejail ???

Нет. И его не было, кажется, с самого начала. После я удалил почти все профили командой rm (скорее всего, некорректно), и теперь вообще ничего не показывает, кроме того, что сам модуль загружен. Хотя, непонятно: в /etc/apparmor.d есть ещё файлы. Вообще собираюсь переустановить apparmor, стереть все конфигурационные файлы, установить его заново, не как зависимость. А то запутался уже. Делал вот так

# apparmor_parser -r /etc/apparmor.d/firejail-default

получалось

Found reference to variable run, but is never declared

немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth	# 1 год, 10 месяцев назад
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	vasek apparmor=1 security=apparmor Спасибо, я пробовал и так. Не получилось. Попробую ещё, может, что перепутал. Слишком много раз делал. немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth	# 1 год, 10 месяцев назад
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	beisic Что покажет проверка ? aa-enabled — Yes! И sudo aa-status показывает, что модуль загружен и список профилей. Пробовал несколько раз systemctl enable apparmor, затем ^start, даже перезагружал систему. Служба не запускалась, появлялось сообщение об ошибке. Кажется, apparmor не мог загрузить по меньшей мере, один профиль. Я просто удалил большинство файлов из /etc/apparmor.d и из поддиректорий тогда, у меня просто нет большинства приложений, с которыми соотносятся те .profile файлы, ничего не изменилось. vasek* lsm=lockdown,yama,apparmor Пробовал ещё security=apparmor, grub-mkconfig -o /boot/grub/grub.cfg, само собой. Linux 5.4.71-1-lts, может в этом дело? Я до конца не понимаю, что делает firejail и думаю, к чему мне лишний сервис в systemd, может, оно и так работает, без apparmor? Только вот 4 зомби процесса... beisic процесс инициализирован за 68,58 мс Первый запуск после включения длится долго. Сейчас у меня по вашему совету .cache примонтирован на tmpfs, я убрал profile-sync-daemon, поменял dns (пишут, что это здорово, dns: 1.1.1.1). немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth

# 1 год, 10 месяцев назад

Темы: 12

Сообщения: 112

Участник с: 08 февраля 2012

beisic
Что покажет проверка ?
aa-enabled

— Yes! И sudo aa-status показывает, что модуль загружен и список профилей.
Пробовал несколько раз systemctl enable apparmor, затем ^start, даже перезагружал систему. Служба не запускалась, появлялось сообщение об ошибке. Кажется, apparmor не мог загрузить по меньшей мере, один профиль. Я просто удалил большинство файлов из /etc/apparmor.d и из поддиректорий тогда, у меня просто нет большинства приложений, с которыми соотносятся те *.profile файлы, ничего не изменилось.

vasek
lsm=lockdown,yama,apparmor

Пробовал ещё security=apparmor, grub-mkconfig -o /boot/grub/grub.cfg, само собой.

Linux 5.4.71-1-lts, может в этом дело?

Я до конца не понимаю, что делает firejail и думаю, к чему мне лишний сервис в systemd, может, оно и так работает, без apparmor? Только вот 4 зомби процесса...

beisic
процесс инициализирован за 68,58 мс

Первый запуск после включения длится долго. Сейчас у меня по вашему совету .cache примонтирован на tmpfs, я убрал profile-sync-daemon, поменял dns (пишут, что это здорово, dns: 1.1.1.1).

немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth	# 1 год, 10 месяцев назад (отредактировано 1 год, 6 месяцев назад)
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	Запускаю браузер firejail google-chrome-stable %U, после этого вывод firejail --tree показывает четыре процесса зомби. Как зависимость к firejail установился apparmor. Apparmor is enabled: /etc/default/grub: `GRUB_CMDLINE_LINUX_DEFAULT="loglevel=3 quiet rootfstype=ext4 libahci.ignore_sss=1 raid=noautodetect apparmor=1 lsm=lockdown,yama,apparmor plymouth.enable=0 lpj=28959870 resume=/dev/sdb1 resume_offset=325632"` . Но запустить службу systemd apparmor не получается. Пробовал такую команду: firejail –apparmor google-chrome-stable, приложение запускается с пресетным набором правил, но: `Warning: Cannot confine the application using AppArmor. Maybe firejail-default AppArmor profile is not loaded into the kernel.` sudo aa-enforce firejail-default Загружен он в ядро или не загружен, firejail ведёт себя одинаково. Всё сложно и запутано, много ошибок. немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth

# 1 год, 10 месяцев назад (отредактировано 1 год, 6 месяцев назад)

Темы: 12

Сообщения: 112

Участник с: 08 февраля 2012

Запускаю браузер firejail google-chrome-stable %U, после этого вывод firejail --tree показывает четыре процесса зомби.
Как зависимость к firejail установился apparmor. Apparmor is enabled: /etc/default/grub:

GRUB_CMDLINE_LINUX_DEFAULT="loglevel=3 quiet rootfstype=ext4 libahci.ignore_sss=1 raid=noautodetect apparmor=1 lsm=lockdown,yama,apparmor plymouth.enable=0 lpj=28959870 resume=/dev/sdb1 resume_offset=325632"

.
Но запустить службу systemd apparmor не получается.
Пробовал такую команду: firejail –apparmor google-chrome-stable, приложение запускается с пресетным набором правил, но:

Warning: Cannot confine the application using AppArmor.
Maybe firejail-default AppArmor profile is not loaded into the kernel.

sudo aa-enforce firejail-default
Загружен он в ядро или не загружен, firejail ведёт себя одинаково.
Всё сложно и запутано, много ошибок.

немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth	# 1 год, 11 месяцев назад
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	beisic & vasek, хочу поблагодарить за исчерпывающие ответы; попробую "песочницу" вместо psd, поменяю блокировщик рекламы, определю кэш в tmpfs, и его не придется чистить вообще (подозреваю, что "песочница" и так делает что-то подобное, впервые слышу). Хотя, меня не увлекает идея оптимизации рендеринга веб-страниц, так же мне ни к чему распределять нагрузку между двумя ядрами моего древнего процессора. Не знаю, чем лучше dns 1.1.1.1, чем провайдерские, которые я получаю через dhcp, да и в роутер я лезть побаиваюсь: я доволен тем, как всё работает и не верю, что я сумею хоть что-то выиграть, необразованный. (У меня — Ростелеком) В общем, спасибо вам за информацию! Буду пробовать всё сам! немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth

# 1 год, 11 месяцев назад

Темы: 12

Сообщения: 112

Участник с: 08 февраля 2012

beisic & vasek, хочу поблагодарить за исчерпывающие ответы; попробую "песочницу" вместо psd, поменяю блокировщик рекламы, определю кэш в tmpfs, и его не придется чистить вообще (подозреваю, что "песочница" и так делает что-то подобное, впервые слышу).
Хотя, меня не увлекает идея оптимизации рендеринга веб-страниц, так же мне ни к чему распределять нагрузку между двумя ядрами моего древнего процессора. Не знаю, чем лучше dns 1.1.1.1, чем провайдерские, которые я получаю через dhcp, да и в роутер я лезть побаиваюсь: я доволен тем, как всё работает и не верю, что я сумею хоть что-то выиграть, необразованный. (У меня — Ростелеком)
В общем, спасибо вам за информацию! Буду пробовать всё сам!

немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth	# 1 год, 11 месяцев назад
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	Встроенный плеер и кодеки. Мне нужно, чтобы после свежей установки браузер восстановил прежние параметры сразу после авторизации. Неужели чтобы нарисовать окно нужно прежде выполнить синхронизацию с сервером Гугл? Однако, было бы неплохо убрать эту синхронизацию в повседневном серфинге. А вообще, если и есть разница во времени первого запуска этих браузеров, то эти сладостные мгновения наверняка не стоят того, чтобы менять один на другой. немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth

# 1 год, 11 месяцев назад

Темы: 12

Сообщения: 112

Участник с: 08 февраля 2012

Встроенный плеер и кодеки. Мне нужно, чтобы после свежей установки браузер восстановил прежние параметры сразу после авторизации. Неужели чтобы нарисовать окно нужно прежде выполнить синхронизацию с сервером Гугл? Однако, было бы неплохо убрать эту синхронизацию в повседневном серфинге.
А вообще, если и есть разница во времени первого запуска этих браузеров, то эти сладостные мгновения наверняка не стоят того, чтобы менять один на другой.

немного денег и не попадать за решётку вот и всё, что требуется для жизни

azaqthoth	# 1 год, 11 месяцев назад
Темы: 12 Сообщения: 112 Участник с: 08 февраля 2012	Если он так же синхронизируется с google аккаунтом, поддерживает те же аддоны и загружается быстрее, перейду на него. Я не читал. немного денег и не попадать за решётку вот и всё, что требуется для жизни