Firejail seccomp und writable-var

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
aki
Beiträge: 76
Registriert: 02.02.2018 11:48:58

Firejail seccomp und writable-var

Beitrag von aki » 10.05.2021 15:09:06

Hallo zusammen,

seit kurzem nutze ich Firejail 0.9.58.2-2+deb10u2 vom offiziellen Debian Mirror. Folgende bedingt gelöste Probleme habe ich damit:
Hearthstone über Playonlinux mit Firejail Profil. Alles geht wie ohne Firejail auch aber wenn dann HS gestartet wird kommt ein schwarzer Bildschirm ohne Ton und bleibt auch so. Mit der Firejail Option --noprofile geht es wieder ganz normal. Ich habe herausgefunden das im Profil von Firejail der Eintrag seccomp der Verursacher ist. Soweit ich das erfasst habe ist seccomp ein Sicherheitsmechanismus, welcher unter anderem dafür sorgt das sicherheitskritische Dinge wie Kernel-Module laden oder den Swap-Speicher kontrollieren, Programme mit Root-Rechten (SUID) ausführen oder das System neu starten untersagt sind. Versucht eine Anwendung eine dieser Systemfunktionen aufzurufen, beendet sie der Kernel umgehend. Daher ist das auskommentieren im Profil dieses Eintrages für mich nicht Zielführend. Deshalb habe ich dann geschaut mit

Code: Alles auswählen

strace -qcf /usr/bin/playonlinux
was da so alles im Hintergrund passiert. Im Anschluss habe ich die ganzen Syscalls mit der Option

Code: Alles auswählen

--seccomp.keep=write,epoll_wait,clock_gettime,......
versucht zu erlauben. Allerdings ohne Erfolg. Der zweite Punkt ist Evolution mit Firejail. Hier ist es nicht möglich lokale Postfächer zu nutzen. Mit Firejail --debug sah ich das /var nur lesend eingebunden wir. Beheben konnte ich dies mit dem Eintrag

Code: Alles auswählen

writable-var
im Profil. In der Manpage konnte ich nichts finden um geziehlt /var/mail/ zu erlauben. Jetzt stellt sich mir die Frage da /var laut FHS ohnehin für sich ändernde Daten vorgesehen ist wie sicherheitskritisch das dann sein soll. Wer Tipps für mich hätte zu der Thematik dem Danke ich.

Grüße

Antworten