Регистрация Войти
Рейтинг:0
Shantanu Bedajna avatar Ubuntu

Apparmor профиль для вина

флаг in
Shantanu Bedajna

Я пытаюсь настроить профиль apparmor для вина так что вино может читать и писать только внутри каталога .wine я видел некоторые потоки, спрашивающие об этом, но ни один из этих вопросов не является подробным.

в этих темах Этот github repo упоминается, например, профиль винного приложения, который я пробовал

я не был уверен в изменении моего /etc/apparmor.d/tunables и /etc/apparmor.d/абстракции

но я добавил сайт папка и ее файлы сайт/глобальный и сайт / де так как их уже не было

и добавил пульс файл в /etc/apparmor.d/ потому что его тоже не было.

сгенерированный пустой профиль для вина с аа-генпроф и использовал профиль для вина, упомянутый в репозитории Github.

Но это было SYS_GIT и HOME_GIT переменные в /etc/apparmor.d/сайт файлы, которых у меня не было, не зная, что делать, я просто прокомментировал их включает в себя из файла профиля вина.

так что мой текущий профиль выглядит так

#include <настраиваемые/глобальные>

профиль wine-preloader /usr/bin/wine-preloader {

    #include <абстракции/база>
    #include <абстракции/шрифты>
    #include <абстракции/служба имен>
    ##include <abstracts/site/de>
    ##include <абстракции/сайт/база>
    #include <абстракции/X>
    #include <абстракции/freedesktop.org>
    ##include <абстракции/пульс>
    #include <абстракции/p11-kit>

    /usr/bin/вино-предзагрузчик рикс,
    /usr/bin/виносервер px,
    /usr/bin/вино г-н,

    /usr/lib/wine/*.so г-н,
    /usr/доля/вино/шрифты/ г,
    /usr/доля/вино/шрифты/* р,
    /usr/доля/вино/вино.inf р,

    /etc/fstab р,
    /usr/доля/terminfo/** г,

    /tmp/.wine-*/ RW,
    /tmp/.wine-*/сервер-*/ RW,
    /tmp/.wine-*/сервер-*/* rwmk,

    владелец @{HOME}/ r,
    владелец @{HOME}/.wine/ rw,
    владелец @{HOME}/.wine/** rwmk,
    владелец @{HOME}/.local/share/icons/hicolor/** rwk,
    владелец @{HOME}/.local/share/applications/** rwk,
    владелец @{HOME}/.config/menus/applications-merged/wine-* rwk,
    владелец @{HOME}/.local/share/desktop-directories/wine-* rwk,

    # В основном это винное меню.
    запретить /usr/bin/update-mime-database x,
    запретить /usr/bin/update-desktop-database x,
    запретить @{HOME}/.local/share/mime/** w,

    # Для винедбг
    запретить возможность sys_ptrace,
    # владелец /proc/@{pid}/mem rw,

    # как
    /etc/udev/udev.conf р,
    /run/udev/данные/* г,
    /run/udev/queue.bin г,
    /sys/устройства/PCI** г,
    /dev/video0 rw, # дри?

    # только для первоначального создания/обновления ~/.wine
    / р,
    /usr/доля/вино/** г,
    владелец @{HOME}/.cache/ r,
    владелец @{HOME}/.cache/wine/rwk,
    владелец @{HOME}/.cache/wine/** rwk,

    # Актуальные приложения/игры
    владелец /proc/@{pid}/mounts r,
    /etc/идентификатор машины r,
    /мнт/изо/р,
    /mnt/iso/** г,
    запретить @{HOME}/Загрузки/ rw,
    запретить @{HOME}/Downloads/** rw,
    запретить @{HOME}/.local/share/Trash/ rw,

    /usr/bin/dosbox cx -> dosbox,

    профиль dosbox {
        #include <абстракции/база>
        #include <абстракции/X>
        ##include <абстракции/пульс>
        ##include <абстракции/сайт/база>

        /etc/fstab р,
        владелец /proc/@{pid}/mounts r,

        # DosBox, кажется, использует их напрямую
        /dev/ввод/событие[0-9]* г,
        /dev/ввод/js[0-9]* г,

        владелец @{HOME}/ r,
        владелец @{HOME}/.wine/ rw,
        владелец @{HOME}/.wine/** rwmk,

        # Актуальные приложения/игры
        /мнт/изо/р,
        /mnt/iso/** г,
    }

}

профиль wineserver /usr/bin/winserver {

    #include <абстракции/база>
    #include <абстракции/служба имен>
    #include <абстракции/freedesktop.org>

    /usr/bin/виносервер г,

    /tmp/.wine-*/ RW,
    /tmp/.wine-*/сервер-*/ RW,
    /tmp/.wine-*/сервер-*/* rwmk,

    владелец @{HOME}/ r,
    владелец @{HOME}/.wine/ rw,
    владелец @{HOME}/.wine/** rwmk,
    владелец @{HOME}/.local/share/icons/hicolor/** rwk,

    # Для винедбг
    запретить возможность sys_ptrace,
    # владелец /proc/@{pid}/mem rw,

    # только для первоначального создания ~/.wine
    / р,
    /usr/доля/вино/** рк,
    владелец @{HOME}/.cache/ r,
    владелец @{HOME}/.cache/wine/rwk,
    владелец @{HOME}/.cache/wine/** rwk,

    # Актуальные приложения/игры
    сеть ipx dgram, #IPX, вау ;)
    /etc/идентификатор машины r,
    /etc/ld.so.preload г,
    /мнт/изо/р,
    /mnt/iso/** г,
    запретить @{HOME}/Загрузки/ rw,
    запретить @{HOME}/.local/share/Trash/ rw,

}

Служба apparmor работает нормально, но когда я пытаюсь запустить что-то в Wine, теперь она показывает мне доступ запрещен

что я здесь делаю неправильно? любые удары в правильном направлении были бы действительно полезны, спасибо

введите описание изображения здесь

179
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.