Cześć! Zaś z czymś sobie nie radzę. Chodzi mianowicie o to, aby np ff uruchamiany był za pomocą firejail. Chciałem edytować w tym celu właściwości i dodać odpowiedni wpis, ale okienko zatwierdzenia, jest wyszarzone. Rozumiem, że może chodzić o uprawnienia, bo moje konto nie posiada praw admin, ale na koncie root, jest podobnie. Co jest nie tak?
Sorry. Na koncie root, działa. Nie działa jednak, gdy siebie dodam do grupy administratorów.
Jakie okienko? Kompletnie nic mi to nie mówi. I co rozumiesz przez grupę administratorów? – jeśli tak jak myślę grupę wheel to uprawnienia administracyjne nabywasz po użyciu sudo.
Ale pomijając tą niejasność – włączenie firejail dla wszystkich aplikacji ogranicza się w zasadzie do dwóch rzeczy sudo firecfg i modyfikacji zmiennej PATH tak żeby /usr/local/bin było przed /bin i /usr/bin – tylko wcześniej radziłbym przejrzeć jakie profile ma zdefiniowany firejail, żeby w coś nie wdepnąć.
Jeśli zaś chodzi o pojedyncze aplikacje, to myślę, że najlepszym sposobem tutaj będzie po prostu modyfikacja pliku .desktop – a te znajdziesz przeważnie w /usr/share/applications i ~/.local/share/applications. Przy czym należy pamiętać, że modyfikacja tych pierwszych wymaga uprawnień administracyjnych oraz mogą zostać nadpisane przy aktualizacji – ale i tu jest rada – skrypt i haki (czy może bardziej zaczepy pooperacyjne) pacmana.
I skoro już się bawisz w zabezpieczanie systemu, to polecam obczaić AppArmor – raz, że firejail na nim bazuje, dwa jest bardzo prosty w obsłudze 
1 polubienie
No tak, jak zwykle rzeczowo, jak zwykle w sedno. Wrzucę screen jak to wygląda. Równocześnie zapytałem dziś w moim temacie na ang j. forum. Mam nadzieję, że kary śmierci nie będzie tu 
Co do firejail to chcę tylko za jego pomocą, używać przeglądarki w newralgicznych miejscach. Apparmor znam z OpenSuse, gdzie po prostu działał Tyle o nim wiem 
ale fakt, zamierzam nieco podciągnąć się z wiedzą, więc bardzo dziękuję Ci za linki.
Na obrazku widać, wyszarzony przycisk zatwierdzenia. BTW, dlaczego zrzut ekranu, po wybraniu “otwórz jego katalog”, otwiera Dolfin’a, a ten krzyczy, że otwieranie go z prawami root, może być niebezpieczne?
Coś mnie tu nie gra z lekka
Bo to jest niebezpieczne – uruchamianie aplikacji, a tym bardziej całego gui, jako root równa się wielkiej dziurze bezpieczeństwa, która przekreśla sens stosowania wszelkiego rodzaju zabezpieczeń takich jak firejail. Ponadto wszelkiego rodzaju złośliwe oprogramowanie ma otwartą drogę do całego systemu. Mogą też trafić się różne bugi, które na poziomie zwykłego usera są nieszkodliwe, a na root mogą uśmiercić system.
Co do wyszarzonego OK – właściwości jakiego pliku chcesz zmodyfikować? jak się dostajesz do tego okienka? Generalnie w KDE wpisy w menu programów najlepiej modyfikować za pośrednictwem kmenuedit – choć to będzie edycja na poziomie danego użytkownika – zmodyfikowane pliki bowiem zostaną umieszczone w ~/.local/share/applications.
1 polubienie
Chodzi o Firefoxa właśnie, znaczy się, edycję jego ikony, gdzie można dodać polecenia uruchamiania. Co do tego, że zrzut ekranu (aplikacja) otwiera lokalizację zapisanego wcześniej pliku, w Dolphin jako root, to jak to jest możliwe, bez wcześniejszego podania hasła? To nie ma prawa moim zdaniem zaistnieć.
Jest to możliwe jeśli jesteś zalogowany na konto root. Ponadto ze screenów wynika, że zrzuty zapisują się w /root/Pulpit, który znajduje się w katalogu domowym root – nie da rady się go otworzyć bez uprawnień. Stąd wniosek, że jesteś zalogowany jako root. Dla pewności możesz jeszcze otworzyć konsolę i sprawdzić kim tam jesteś. Nie mam pojęcia, jak ci się to udało, bo Plasma sama w sobie dość mocno utrudnia takie kombinacje i znam tylko jeden sposób na to (właściwie to dwa, ale drugiego nie miałem okazji sprawdzić) – na tym koncie Plasma zachowuje się dość dziwnie i objawy są dokładnie takie jak u ciebie.
A lokalizacja ikony i jej uprawnienia? Jeśli jest w /usr/share/applications to nie powinno być problemu – program powinien zapisać zmodyfikowaną wersję w ~/.local/share/applications. Chociaż jeśli pracujesz z roota, to faktycznie może być problem – bo może nie być takiego katalogu albo program ma na sztywno ustawione, żeby niczego nie zapisywać w /root. No i taka edycja z poziomu root nie ma najmniejszego sensu – modyfikacja będzie widoczna tylko dla root, nie dla usera, dla którego chcesz wprowadzić modyfikację.
1 polubienie
Nie loguję się w gui jako root, nigdy… Właśnie nie wiem czemu zapis idzie do tej lokalizacji, skoro korzystam ze zwykłego konta. Wrócę do domu, to może przysiądziemy przy tym, bo szczerze nie podoba się mi to. Dodatkowo wcześniej po instalacji systemu, miałem dodatkowe konto o nazwie zdaje się who. Długo go nie ruszałem, ale kilka dni temu postanowiłem usunąć.
Właściwie i tak przymierzałem się do nowej instalacji, aby już na początku zaszyfrować dysk. Martwi mnie ta sytuacja, bo zakładając, zgodnie ze sztuką, to system został skompromitowany.
Ok. Zdaje się świeża instalacja załatwiła sprawę. To dodatkowe konto, które jest tworzone po instalacji to" nobody". W jakim celu jest tworzone?
Może dobry moderator, da radę wydzielić części postów, do nowego tematu, np “zrzut ekranu, uruchamia Dolphin, w trybie root’a” ? To tylko przykład. Mogę wymyśleć coś trafniejszego Rozpędziłem się z tym mieszaniem treści
Skoro już zdążyłeś pozbyć się starego systemu to nie ma to za bardzo sensu – a problem na 99% leżał w twojej konfiguracji. Jedyne sytuacje gdy możesz uruchomić Dolphin z uprawnieniami root to albo zalogowanie się jako root (co domyślnie jest niemożliwe bez kombinacji) albo uruchomienia samego Dolphina z podwyższonymi uprawnieniami – tu jest tylko jeden sposób opisany zresztą tutaj.
Jest to użytkownik specjalnego przeznaczenia z minimalnymi uprawnieniami dla aplikacji, które tego potrzebują – kiedyś był często wykorzystywany, dziś już rzadko (w zasadzie z bardziej znanych usług tylko NFS jeszcze z niego nie zrezygnowało) – ale skoro system go utworzył no najprawdopodobniej jest potrzebny którejś aplikacji (ewentualnie jest utrzymywany w ramach wstecznej kompatybilności). Obecnie jak jakiś program tego wymaga to raczej tworzy swojego usera. Jak zajrzysz do /etc/passwd to zobaczysz całkiem sporą listę takich użytkowników.
@Tomek jakiej konfiguracji? Standardowe uruchamianie Dolphin nie podnosiło uprawnień, chyba że skorzystałem z odpowiedniej opcji, którą notabene, Ty pomogłeś mi stworzyć🙂. Jedynie skorzystanie z narzędzia do screenów, powodowało takie cyrki. Więc co takiego skonfigurowałem, że screenshoot potrafi otworzyć dolphina z prawami root, bez konieczności podawania hasła, co w normalnym użytkowaniu, nie ma miejsca i bez podania hasła, nie podniosę sobie uprawnień. Zostawił bym to dłużej, ale nie chciałem ryzykować. Nie mam zapasowego sprzętu, aby ten mógł sobie posłużyć do głębszej analizy. Sam brak konieczności podania hasła, jest mega dziwny. Żebym był na koncie root, ok zgoda, ale nie byłem. Raz włączyłem gui z root, ale bez sieci, na chwilę, by spróbować tej edycji ff.
Jak wspominałem wyżej – pod root KDE potrafi się zachowywać dziwnie i nielogicznie. Jednym z przykładów jest Dolphin. Zwykłe uruchomienie nie pokazuje żadnych ostrzeżeń, ba otwiera się w katalogu standardowego usera (w moim przypadku było to /home/tomek) natomiast po zrobieniu screena i otwarciu w sposób, który podałeś pokazuje ostrzeżenie i zapisuje screeny w /root/Pulpit.
A przy następnym logowaniu mogłeś zapomnieć się przełączyć z powrotem (SDDM zapamiętuje poprzednie konto) i jak hasło było to samo, to mogłeś nawet nie spostrzec, że logujesz się jako root.
Nie potrzeba sprzętu – wystarczy wirtualka np. w Virtualboxie.
Przed zalogowaniem do root’a, było to samo @Tomek no jak Bozie kocham. Jestem rozsądny i, uważam że skoro u nikogo dotąd takie coś nie wystąpiło, znakiem tego faktycznie ja, musiałem coś pokręcić. A co do vm, to jakie miałoby mieć zastosowanie w tej sytuacji, skoro wystąpiło to na “żywym” sprzęcie? Muszę się przyznać, że ta sytuacja spowodowała mój powrót do Debiana… Nie długo będę posiadać zapasowy sprzęt, więc na pewno wrócę do Manjaro, ale na codzień nie mogę sobie pozwolić, aby tak niebezpiecznie namieszać. Tak czy inaczej zostaję z Wami. No gdzie znajdziecie takiego mózga😆