Ubuntu-fr

Tchernobile

Sécurité firefox Apparmor

Bonjour, alors j'ai une notification qu'en j'ouvre tor ou firewolf qui me dis que leur utilisation offrirait moins de protection avec les paramètres actuel. Donc d'après l'explication afficher je dois créer un dossier firefox-local dans apparmor.d.
- En essayant de le copier coller dans l'emplacement, impossible, ne disposant pas des droit de superutilisateur.(je connais sudo en ligne de commande mais pour le copier coller aucune idée)
- En lisant la doc il faudrait faire

 sudo aa-autodep 

mais commande introuvable. De plus il semblerai que cette doc date et je ne trouve pas vraiment d'autre info ou alors je les comprends mal donc si vous pouviez m'aider, merci.

LukePerp

Re : Sécurité firefox Apparmor

sudo aa-autodep firefox

Dernière modification par LukePerp (Le 31/12/2024, à 19:11)

---

Gamer inside - Ubuntu Mate dernière LTS - Intel i5, 16 Go - Dual boot Windows - Utilisateur de Dapps sur Ethereum

Tchernobile

Re : Sécurité firefox Apparmor

J'ai "commande introuvable" comme retour. Pareil pour

 sudo aa-genprof 

qui est censé générer un profil, si c'est bien ça que je dois faire, sachant que le dossier firefox-local dans lequel je dois mettre le scripte est bien présent.

Dernière modification par Tchernobile (Le 01/01/2025, à 06:28)

ylag

Re : Sécurité firefox Apparmor

Bonjour

Il faut installer le paquet apparmor-utils pour avoir la commande aa-genprof.

A+

Tchernobile

Re : Sécurité firefox Apparmor

Bonjour ylag , et merci j'ai tout installé, j'arriver à ouvrir le profil, le modifier à la façon des explication du support mozilla et là : syntax error.
Voici ce que me dis d'ecrire dans le profil.
# This profile allows everything and only exists to give the
# application a name instead of having the label "unconfined"
abi <abi/4.0>,
include <tunables/global>
profile firefox-local
/home/<xxxx@xxxx-IdeaPad-Gaming-3-15IMH05>/bin/firefox/{firefox,firefox-bin,updater}
flags=(unconfined) {
    userns,
    # Site-specific additions and overrides. See local/README for details.
    include if exists <local/firefox>
}

J'essaie de le mettre enforce mais j'ai ceci : 

  sudo aa-enforce /etc/apparmor.d/firefox
[sudo] Mot de passe de xxxx : 
Setting /etc/apparmor.d/firefox to enforce mode.

ERROR: /etc/apparmor.d/firefox doesn't contain a valid profile (syntax error?)  

Tchernobile

Re : Sécurité firefox Apparmor

et quand j'essaie de le reouvrir pour le remodifier j'ai

  /etc/apparmor.d$ gedit firefox

(gedit:10447): Gtk-CRITICAL **: 16:14:12.743: gtk_widget_get_scale_factor: assertion 'GTK_IS_WIDGET (widget)' failed

(gedit:10447): Gtk-CRITICAL **: 16:14:12.743: gtk_widget_get_scale_factor: assertion 'GTK_IS_WIDGET (widget)' failed
   

Si quelqu'un à une solution.... Merci

ylag

Re : Sécurité firefox Apparmor

Bonjour,

Je ne connais pas la syntaxe des profils apparmor, désolé ...

A+

Tchernobile

Re : Sécurité firefox Apparmor

ok merci quand même, je vais attendre quelqu'un qui s'y connais mieux avant de faire une grosse connerie

xubu1957

Re : Sécurité firefox Apparmor

Bonjour,

Que donne :

sudo aa-status

?

> help.ubuntu.com/community/AppArmor

---

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

Tchernobile

Re : Sécurité firefox Apparmor

bonjour,

 xxxx@xxxx-IdeaPad-Gaming-3-15IMH05:~$ sudo aa-status
[sudo] Mot de passe de xxxx : 
apparmor module is loaded.
214 profiles are loaded.
111 profiles are in enforce mode.
   /snap/snapd/21465/usr/lib/snapd/snap-confine
   /snap/snapd/21465/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /snap/snapd/21759/usr/lib/snapd/snap-confine
   /snap/snapd/21759/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /snap/snapd/23258/usr/lib/snapd/snap-confine
   /snap/snapd/23258/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince//sanitized_helper
   /usr/bin/evince//snap_browsers
   /usr/bin/man
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   avahi-daemon
   dnsmasq
   dnsmasq//libvirt_leaseshelper
   identd
   klogd
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   lsb_release
   man_filter
   man_groff
   mdnsd
   nmbd
   nscd
   nvidia_modprobe
   nvidia_modprobe//kmod
   php-fpm
   ping
   plasmashell
   plasmashell//QtWebEngineProcess
   rsyslogd
   samba-bgqd
   samba-dcerpcd
   samba-rpcd
   samba-rpcd-classic
   samba-rpcd-spoolss
   smbd
   smbldap-useradd
   smbldap-useradd///etc/init.d/nscd
   snap-update-ns.cups
   snap-update-ns.firefox
   snap-update-ns.onekey-wallet
   snap-update-ns.riseup-vpn
   snap-update-ns.snap-store
   snap-update-ns.thunderbird
   snap-update-ns.vlc
   snap.cups.accept
   snap.cups.cancel
   snap.cups.cups-browsed
   snap.cups.cupsaccept
   snap.cups.cupsctl
   snap.cups.cupsd
   snap.cups.cupsdisable
   snap.cups.cupsenable
   snap.cups.cupsfilter
   snap.cups.cupsreject
   snap.cups.cupstestppd
   snap.cups.driverless
   snap.cups.gs
   snap.cups.ippeveprinter
   snap.cups.ippfind
   snap.cups.ipptool
   snap.cups.lp
   snap.cups.lpadmin
   snap.cups.lpc
   snap.cups.lpinfo
   snap.cups.lpoptions
   snap.cups.lpq
   snap.cups.lpr
   snap.cups.lprm
   snap.cups.lpstat
   snap.cups.reject
   snap.firefox.firefox
   snap.firefox.geckodriver
   snap.firefox.hook.configure
   snap.firefox.hook.disconnect-plug-host-hunspell
   snap.firefox.hook.post-refresh
   snap.onekey-wallet.onekey-wallet
   snap.snap-store.hook.configure
   snap.snap-store.show-updates
   snap.snap-store.snap-store
   snap.thunderbird.hook.configure
   snap.thunderbird.hook.post-refresh
   snap.thunderbird.thunderbird
   snap.vlc.vlc
   syslog-ng
   syslogd
   system_tor
   tcpdump
   traceroute
   ubuntu_pro_apt_news
   ubuntu_pro_esm_cache
   ubuntu_pro_esm_cache//apt_methods
   ubuntu_pro_esm_cache//apt_methods_gpgv
   ubuntu_pro_esm_cache//cloud_id
   ubuntu_pro_esm_cache//dpkg
   ubuntu_pro_esm_cache//ps
   ubuntu_pro_esm_cache//ubuntu_distro_info
   ubuntu_pro_esm_cache_systemctl
   ubuntu_pro_esm_cache_systemd_detect_virt
   unix-chkpwd
   unprivileged_userns
12 profiles are in complain mode.
   libreoffice-oosplash
   libreoffice-soffice
   samba-rpcd-classic///usr/libexec/samba/samba-dcerpcd
   snap.riseup-vpn.bitmask-root
   snap.riseup-vpn.hook.install
   snap.riseup-vpn.hook.remove
   snap.riseup-vpn.launcher
   snap.riseup-vpn.openvpn
   transmission-cli
   transmission-daemon
   transmission-gtk
   transmission-qt
0 profiles are in prompt mode.
0 profiles are in kill mode.
91 profiles are in unconfined mode.
   1password
   Discord
   MongoDB Compass
   QtWebEngineProcess
   balena-etcher
   brave
   buildah
   busybox
   cam
   ch-checkns
   ch-run
   chrome
   crun
   devhelp
   element-desktop
   epiphany
   evolution
   firefox-local
   flatpak
   foliate
   geary
   github-desktop
   goldendict
   ipa_verify
   kchmviewer
   keybase
   lc-compliance
   libcamerify
   linux-sandbox
   loupe
   lxc-attach
   lxc-create
   lxc-destroy
   lxc-execute
   lxc-stop
   lxc-unshare
   lxc-usernsexec
   mmdebstrap
   msedge
   nautilus
   notepadqq
   obsidian
   opam
   opera
   pageedit
   podman
   polypane
   privacybrowser
   qcam
   qmapshack
   qutebrowser
   rootlesskit
   rpm
   rssguard
   runc
   sbuild
   sbuild-abort
   sbuild-adduser
   sbuild-apt
   sbuild-checkpackages
   sbuild-clean
   sbuild-createchroot
   sbuild-destroychroot
   sbuild-distupgrade
   sbuild-hold
   sbuild-shell
   sbuild-unhold
   sbuild-update
   sbuild-upgrade
   scide
   signal-desktop
   slack
   slirp4netns
   steam
   stress-ng
   surfshark
   systemd-coredump
   thunderbird
   toybox
   trinity
   tup
   tuxedo-control-center
   userbindmount
   uwsgi-core
   vdens
   virtiofsd
   vivaldi-bin
   vpnns
   vscode
   wike
   wpcom
35 processes have profiles defined.
16 processes are in enforce mode.
   /usr/sbin/cups-browsed (2606) 
   /usr/sbin/cupsd (1915) 
   /usr/sbin/avahi-daemon (1189) avahi-daemon
   /usr/sbin/avahi-daemon (1234) avahi-daemon
   /usr/sbin/nmbd (2642) nmbd
   /usr/sbin/rsyslogd (1306) rsyslogd
   /usr/sbin/smbd (2648) smbd
   /usr/sbin/smbd (2652) smbd
   /usr/sbin/smbd (2653) smbd
   /usr/bin/dash (1917) snap.cups.cups-browsed
   /usr/bin/dash (2196) snap.cups.cups-browsed
   /usr/bin/sleep (10972) snap.cups.cups-browsed
   /usr/bin/dash (1918) snap.cups.cupsd
   /snap/cups/1067/sbin/cupsd (2132) snap.cups.cupsd
   /snap/cups/1067/sbin/cups-proxyd (2133) snap.cups.cupsd
   /usr/bin/tor (2629) system_tor
0 processes are in complain mode.
0 processes are in prompt mode.
0 processes are in kill mode.
19 processes are unconfined but have a profile defined.
   /opt/brave.com/brave/brave (3643) brave
   /opt/brave.com/brave/chrome_crashpad_handler (3645) brave
   /opt/brave.com/brave/chrome_crashpad_handler (3647) brave
   /opt/brave.com/brave/brave (3653) brave
   /opt/brave.com/brave/brave (3654) brave
   /opt/brave.com/brave/brave (3656) brave
   /opt/brave.com/brave/brave (3731) brave
   /opt/brave.com/brave/brave (3736) brave
   /opt/brave.com/brave/brave (3746) brave
   /opt/brave.com/brave/brave (3781) brave
   /opt/brave.com/brave/brave (3782) brave
   /opt/brave.com/brave/brave (3852) brave
   /opt/brave.com/brave/brave (3873) brave
   /opt/brave.com/brave/brave (3880) brave
   /opt/brave.com/brave/brave (6213) brave
   /opt/brave.com/brave/brave (6315) brave
   /opt/brave.com/brave/brave (9219) brave
   /opt/brave.com/brave/brave (9261) brave
   /opt/brave.com/brave/brave (9285) brave
0 processes are in mixed mode.
    

xubu1957

Re : Sécurité firefox Apparmor

Pour apparmor, je ne saurais pas aider plus !   ¯∖_(ツ)_/¯

        _ _ _

(edit=messages regroupés)
        _ _ _

Si une idée ressort > v24.04 snap.firefox.firefox apparmor profile INSECURE

Dernière modification par xubu1957 (Le 02/01/2025, à 09:47)

---

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

iznobe

Re : Sécurité firefox Apparmor

Bonjour ,

En essayant de le copier coller dans l'emplacement, impossible, ne disposant pas des droit de superutilisateur.(je connais sudo en ligne de commande mais pour le copier coller aucune idée)

c ' est la commande " CP " , donc on peut ecrire une commande de la sorte :

sudo cp /chemin/absolu/fichier _ou_dossier_a_copier   /chemin/absolu/enplacement/de/la/copie

Dernière modification par iznobe (Le 02/01/2025, à 09:43)

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Tchernobile

Re : Sécurité firefox Apparmor

Bonjour Iznobe, en faite j'ai réussis à créer un profil et à le mettre dans apparmor.d.
Le problème c'est qu'en je veux le mettre "enforce" j'ai le message d'erreur

    sudo aa-enforce firefox-local
Setting /etc/apparmor.d/firefox-local to enforce mode.

ERROR: /etc/apparmor.d/firefox-local doesn't contain a valid profile (syntax error?)
    

ce qui me dire qu'il y a un chmilblik.   
Quand je fait

   apparmor_parser -M /etc/apparmor.d/firefox-local 

pour liste les erreur de syntax (si jme trompe pas j'obtiens rien du tout.
En revanche j'ai fait

     xxxx@xxxx-IdeaPad-Gaming-3-15IMH05:~$ sudo aa-logprof
Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/audit/audit.log.
Complain-mode changes:
Enforce-mode changes:

Profil:             /usr/lib/snapd/snap-confine
Mode compatibilité: net_admin
Gravité:            8

 [1 - capability net_admin,]
(A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish

Profil:             /usr/lib/snapd/snap-confine
Mode compatibilité: net_admin
Gravité:            8

 [1 - capability net_admin,]
(A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish
Adding deny capability net_admin, to profile.

Profil:             /usr/lib/snapd/snap-confine
Mode compatibilité: perfmon
Gravité:            7

 [1 - capability perfmon,]
(A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish

Profil:             /usr/lib/snapd/snap-confine
Mode compatibilité: perfmon
Gravité:            7

 [1 - capability perfmon,]
(A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish

Profil:             /usr/lib/snapd/snap-confine
Mode compatibilité: perfmon
Gravité:            7

 [1 - capability perfmon,]
(A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish
Adding capability perfmon, to profile.

Profil:             /usr/sbin/cupsd
Mode compatibilité: net_admin
Gravité:            8

 [1 - capability net_admin,]
(A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish
Adding capability net_admin, to profile.

Profil:         samba-rpcd-classic
Chemin d'accès: /run/samba/ncalrpc/np/winreg
Nouveau mode:   owner rw
Gravité:        unknown

 [1 - owner /run/samba/ncalrpc/np/winreg rw,]
(A)llow / [(D)eny] / (I)gnore / (G)lob / Glob with (E)xtension / (N)ew / Audi(t) / (O)wner permissions off / Abo(r)t / (F)inish
Adding owner /run/samba/ncalrpc/np/winreg rw, to profile.

= Changed Local Profiles =

The following local profiles were changed. Would you like to save them?

 [1 - /usr/lib/snapd/snap-confine]
  2 - /usr/sbin/cupsd 
  3 - samba-rpcd-classic 
(S)ave Changes / Save Selec(t)ed Profile / [(V)iew Changes] / View Changes b/w (C)lean profiles / Abo(r)t
Writing updated profile for /usr/lib/snapd/snap-confine.
Writing updated profile for /usr/sbin/cupsd.
Writing updated profile for samba-rpcd-classic.
       

           
Je ne sais pas si j'ai bien fais. Sur firefox je n'ai plus l'alerte de sécurité, en revanche je l'ai toujours sur Librewolf.

kastopidiak

Re : Sécurité firefox Apparmor

Concrètement qu'est-ce qu'un profil apparmor pour un navigateur web apporte au niveau sécurité ?
Merci d'éviter de répondre par des généralités / banalités non argumentées techniquement. Du style : il est essentiel de protéger les applications qui utilisent la connexion Internet parce qu'elles peuvent contenir des failles exploitables.

Sinon pour faire avancer le truc :
- le profil apparmor de Firefox se trouve dans le fichier /etc/apparmor.d/firefox ;
- comme indiqué dans l'en tête du fichier ce profil ne fait rien (il autorise tout) ;
- le fichier est fourni par le paquet apparmor qui est installé par défaut sur Ubuntu ;
- s'il ya des ajouts ou personnalisations à faire il faut créer un fichier /etc/apparmor.d/local/firefox.

Pour les autres navigateurs les profils s'il existent doivent être fournis avec leur paquet respectifs. Par exemple /etc/apparmor.d/torbrowser.Browser.firefox, fourni par le paquet torbrowser-launcher.

Si c'est installé via snap, flatpak ou autre, démerdez-vous.

Dernière modification par kastopidiak (Le 02/01/2025, à 13:08)

Tchernobile

Re : Sécurité firefox Apparmor

Kastopidiak si il y une notification de sécurité, c'est bien pour quelque chose. Mon problème est bien une question de personnalisation, la page de firefox ne donnant pas plus d'explication et le script semblant altéré. Heuresement qu'il y a des personne plus compréhensive que vous, pour aider ceux qui ont des difficultés en informatique.

kastopidiak

Re : Sécurité firefox Apparmor

Je pose juste des questions et je me demande bien pourquoi il ya cette notification puisque les profils sont normalement fournis et activés avec les paquets logiciels.

Tchernobile

Re : Sécurité firefox Apparmor

Kastopidiak, autant pour moi .... J'ai dû merder quelque part dans l'ajout du nouveau scripte mais où ? mystère