Firejail und Mountpoints

[scientific]

Hi Leute!

Ich bin jetzt in noch ein Problem mit Firejail gerannt...
Das erste ist, dass wget nicht auf einem Mountpoint funktioniert.
Jetzt wollte ich ein Video mit Totem ansehen, das in ~/Videos/extern liegt. Dieses Verzeichnis ist der Mountpoint für meine externe Festplatte. Das Video liegt also nicht lokal.

Rufe ich das Video mit totem (ein Symling in /usr/local/bin auf /usr/bin/firejail) auf, erhalte ich folgende Fehlermeldung:

Code: Alles auswählen

$ cd /home/jakob/Videos/Filme
totem /home/jakob/Videos/Filme/Polt.mp4 
Reading profile /etc/firejail/totem.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-passwdmgr.inc
Reading profile /etc/firejail/disable-programs.inc
Parent pid 20005, child pid 20006
Child process initialized in 34.27 ms

(totem:4): Totem-WARNING **: totem-rotation-plugin.vala:175: Could not query file attribute: Fehler beim Holen der Informationen für Datei »/home/jakob/Polt.mp4«: Datei oder Verzeichnis nicht gefunden

Totem such also im falschen Verzeichnis... das Pfad zum Arbeitsverzeichnis scheint irgendwie vermurkst zu sein.

Rufe ich den Film mit dem gesamten Pfad auf

Code: Alles auswählen

$ totem /home/jakob/Videos/extern/Filme/Polt.mp4 
Reading profile /etc/firejail/totem.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-passwdmgr.inc
Reading profile /etc/firejail/disable-programs.inc
Parent pid 20271, child pid 20272
Child process initialized in 54.05 ms

(totem:4): Totem-WARNING **: totem-rotation-plugin.vala:175: Could not query file attribute: Fehler beim Holen der Informationen für Datei »/home/jakob/Videos/extern/Filme/Polt.mp4«: Datei oder Verzeichnis nicht gefunden

wird die Datei auch nicht gefunden.

Rufe ich den Film mit /usr/bin/totem (also ohne Firejail) auf, wird das Video tadellos abgespielt.

Kopiere ich den Film in ein lokales Verzeichnis /also z.B. ~/Videos), kann ich es auch mit Firejail abspielen.

Bei wget hab ich ein ähnliches Problem. Mit Firejail kann ich in einen Mountpoint nix runterladen, dort kommt die Fehlermeldung, dass es sich um ein ro-Filesystem handeln würde. Ohne Firejail klappt es.

Ich muss irgendwie diese Mountpoints für Firejail freigeben können... mit "noblacklist" oder "whitelist" klappt es aber nicht. Hab ich schon probiert.

Ideen?

lg scientific

[novalix]

Hola,
ich habe keine Erfahrungen mit firejail. Mir ist nach dem gestrigen Einbinden der stretch-backports auf meinem Arbeitsrechner aber das Paket firejail-profiles aufgefallen. Vielleicht ergibt sich daraus eine Lösung für Dein Problem.

[geier22]

Ich weiss nicht, ob dir das eventuell weiterhilft:
Bei den firetools wird das Programm firejail-ui, das dann in Anwendungsmenü als Firejail Configuration Wizard erscheint, mit installiert. Hat eine recht übersichtliche Oberfläche, um eigene Profile zu erstellen. Vielleicht etwas einfacher, als in den Profilen von /etc/firejail/ herumzuschrauben.
Allerdings habe ich auch noch keine Lösung für mein kleines Problem gefunden:
Meine keepass2 - Datei liegt auf einem anderen Laufwerk und steht per Symlink in meinem /home zu Verfügung. Das mache ich deswegen weil meine 3 Debian - Installationen - bis auf die Oberflächen-spezifischen Konfigurationsdateien -- alle auf den selben Datenbestand zugreifen. Firejail lässt den Zugriff aber nicht zu. Gibt jedes mal eine Eintrag ins Systemprotokoll

[dufty2]

Wie wird denn die externe Platte ge-mounted? NTFS? ext3? ext4?

Habe hier einen USB-Stick, wenn der nach /media/... mounted per fuseblk (NTFS), geht ein
$ firejail mpv /media/...
Und auch wenn man einen link von /media/... ins $HOME anlegt, versteht das firejail.
Habe auch einen Link von einem anderen User von dessen $HOME ins eigene gelegt, und dann geht's nicht mehr.
Man sieht das auch, wenn man
$ firejail bash
macht und daraufhin ein
$ cd /home
=> es wird nur das "eigene" HOME angezeigt, nicht der anderen User.
Aber ein
$ cd /media/...
klappt und deshalb geht auch Filmchen klotzen unter firejail

[scientific]

Vielen Dank für die guten Hinweise. Ja, das mit dem Mountpoint könnte so irgendwie hinkommen...

Was firejail-ui anbelangt, so passt da etwas nicht mehr.

Code: Alles auswählen

# apt-file search firejail-ui
firetools: /usr/bin/firejail-ui
firetools: /usr/share/applications/firejail-ui.desktop
firetools: /usr/share/man/man1/firejail-ui.1.gz
firetools: /usr/share/pixmaps/firejail-ui.png
( 0 ✓) root@aldebaran (23:28)
[/@debian-testing]/: # /usr/bin/firejail-ui
-bash: /usr/bin/firejail-ui: Datei oder Verzeichnis nicht gefunden
( 127 ✗ ) root@aldebaran (23:28)
[/@debian-testing]/: # dpkg -L firetools
/.
/usr
/usr/bin
/usr/bin/firemgr
/usr/bin/firetools
/usr/share
/usr/share/applications
/usr/share/applications/firetools.desktop
/usr/share/doc
/usr/share/doc/firetools
/usr/share/doc/firetools/changelog.Debian.gz
/usr/share/doc/firetools/changelog.gz
/usr/share/doc/firetools/copyright
/usr/share/man
/usr/share/man/man1
/usr/share/man/man1/firemgr.1.gz
/usr/share/man/man1/firetools.1.gz
/usr/share/pixmaps
/usr/share/pixmaps/firetools.png

ein geupdatetes apt-file spuckt mir firejail-ui bei den firetools aus. Das installierte firetools jedoch beinhaltet es nicht.
Liegt vielleicht an der Version?

Code: Alles auswählen

# apt-cache madison firetools 
 firetools |   0.9.50-1 | http://ftp.at.debian.org/debian sid/main amd64 Packages
 firetools |   0.9.44-1 | http://ftp.at.debian.org/debian stretch/main amd64 Packages
 firetools |   0.9.44-1 | http://ftp.at.debian.org/debian stretch/main Sources
( 0 ✓) root@aldebaran (23:31)
[/@debian-testing]/: # dpkg -l|grep firetools
ii  firetools                                                   0.9.44-1                                    amd64        Qt frontend for the Firejail application sandbox

Meines hat es jedenfalls nicht. Und von sid möcht ich das Paket nicht installieren.

lg scientific

[geier22]

upps.
hab grad nachgesehen, die UI ist erst bei Buster implementiert.
Buster:
https://packages.debian.org/buster/amd6 ... s/filelist
Stretch:
https://packages.debian.org/stretch/amd ... s/filelist
sorry

[Profbunny]

Welche firejail Version hast du? Welche mount optionen verwendest du für ~/Videos/extern? Soweit ich weiß, jetzt aus dem Kopf, müsstest du eine der Optionen allow_root oder allow_other benutzen.
Hast du ~/Videos/extern las noblacklist und whitelist im totem profil freigegeben?


Links sind nicht ganz trival in firejail, siehe https://anonscm.debian.org/git/collab-m ... ail.config
follow-symlink-as-user yes
follow-symlink-private-bin no

immer in Abhängigkeit von deinem jeweiligen Profil.

[scientific]

Aus deinem Link hab ich folgendes herausgelesen:

Code: Alles auswählen

# Follow symlink as user. While using --whitelist feature,
# symlinks pointing outside home directory are followed only
# if both the link and the real file are owned by the user.
# Enabled by default
# follow-symlink-as-user yes

Und in /etc/firejail/wget.local so eingetragen

Code: Alles auswählen

follow-symlink-as-user yes

Im Log steht dann:

Code: Alles auswählen

 # cat bla/debootstrap/debootstrap.log
Reading profile /etc/firejail/wget.profile
Reading profile /etc/firejail/wget.local
Error: line 1 in /etc/firejail/wget.local is invalid

Da scheints eine Änderung irgendwo gegeben zu haben...

lg scientific