Sublime HQ bietet den Editor Sublime Text in verschiedenen Varianten zum Herunterladen an. Neben Paketen für die Paketmanager unterschiedlicher Distributionen gibt es auch eine TAR-Datei nebst passender Signatur, mit deren Hilfe der Download verifiziert werden kann.

Das Vorgehen hierzu ist recht einfach und gliedert sich in drei Schritte:

Public Key herunterladen und einlesen

Zuerst wird der Public Key von Sublime HQ heruntergeladen

$ wget https://download.sublimetext.com/sublimehq-pub.gpg
...
2023-09-01 08:07:58 (65,3 MB/s) - »sublimehq-pub.gpg« gespeichert [3817/3817]

und in einen eigenen Keyring im aktuellen Arbeitsverzeichnis importiert

$ gpg --no-default-keyring --homedir ./ --import sublimehq-pub.gpg
...
gpg: Schlüssel ADAE6AD28A8F901A: Öffentlicher Schlüssel "Sublime HQ Pty Ltd <support@sublimetext.com>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:                              importiert: 1

Wer möchte, kann den Public Key natürlich auch seinem Standard-Keyring hinzufügen, hierzu einfach den Parameter “–homedir ./” weglassen.

Herunterladen von Sublime Text und Signaturdatei

Dann werden Sublime Text und die Signaturdatei heruntergeladen:

$ wget https://download.sublimetext.com/sublime_text_build_4152_x64.tar.xz
...
sublime_text_build_4152_ 100%[==================================>]  15,69M  1,23MB/s    in 14s

$ wget https://download.sublimetext.com/sublime_text_build_4152_x64.tar.xz.asc
...
sublime_text_build_4152_ 100%[==================================>]     819  --.-KB/s    in 0s

Verifizieren des Downloads

Als letzter Schritt werden die heruntergeladenen Dateien mit Hilfe des öffentlichen Schlüssels verifiziert

$ gpg --homedir ./ --verify sublime_text_build_4152_x64.tar.xz.asc sublime_text_build_4152_x64.tar.xz
...
gpg: Signatur vom Mi 30 Aug 2023 04:50:56 CEST
gpg:                mittels RSA-Schlüssel F57D4F59BD3DF454
gpg: Korrekte Signatur von "Sublime HQ Pty Ltd <support@sublimetext.com>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 1EDD E2CD FC02 5D17 F6DA  9EC0 ADAE 6AD2 8A8F 901A
Unter-Fingerabdruck  = E359 79B8 96E9 9725 6457  C632 F57D 4F59 BD3D F454

Der Fingerabdruck ist leider nicht direkt auf der Download-Seite hinterlegt, findet sich aber im Forum:

• Non-RPM key: 1EDD E2CD FC02 5D17 F6DA 9EC0 ADAE 6AD2 8A8F 901A
• RPM key: 1B64 2796 75A4 299D CFC7 0858 CA46 4A9A 222D 23D0

Nach der Aktualisierung auf Version 4 wollte Sublime Text mit dem alten AppArmor-Profil nicht mehr starten. Ein Blick ins Log half, die Problemstellen zu lokalisieren und das Profil anzupassen:

# 2020-05-11 athul/initial
# 2020-09-29 athul/replaced abstractions/evince
# 2021-07-26 athul/changed permissions for /opt/sublime_text/sublime_text from "mr" to "mrix",
#   added settings for /opt/sublime_text/plugin_host-3.3, /opt/sublime_text/plugin_host-3.8
#   chandged permissions for /opt/sublime_text/** from "r" to "mr", removed /opt/sublime_text/plugin_host
# 2021-08-19 athul/added write permission to /tmp/*

#include <tunables/global>

/opt/sublime_text/sublime_text {
  #include <abstractions/X>
  #include <abstractions/base>
  #include <abstractions/dbus-session-strict>
  #include <abstractions/fonts>

  deny network,

  /opt/sublime_text/ r,
  /opt/sublime_text/** mr,
  /opt/sublime_text/plugin_host-3.3 mrix,
  /opt/sublime_text/plugin_host-3.8 mrix,
  /opt/sublime_text/sublime_text mrix,
  /proc/filesystems r,
  /usr/share/** r,
  /usr/bin/perl mrix,
  /usr/bin/sassc mrix,
  owner /dev/shm/* rwl,
  owner /run/user/** rw,
  owner /tmp/* w,
  @{HOME}/** rwk,
  @{HOME} rw,
}

Es musste die Berechtigung für Sublime Text um “ix” (execute and inherit the current profile) ergänzt, die Einstellungen für den Plugin-Host geändert und die Berechtigungen für die Dateien unterhalb von “/opt/sublime_text/” um “m” (memory map executable) erweitert werden.

Seit ein paar Tagen ist Sublime Text 4 erhältlich. Leider hat sich der Hersteller entschlossen, diese Tatsache im entsprechenden Dialog nicht weiter zu erläutern:

Das böse Erwachen kommt nach der Installation, falls die vorhandene Lizenz älter als drei Jahre ist: mit Erscheinen von Sublime Text 4 hat der Anbieter das zu Grunde liegende Lizenzmodell geändert, so daß eine kostenpflichtige Lizenzverlängerung fällig wird. Der Preis für die Verlängerung ist mit $70 recht happig, die bisher vorhandene Lizenz wird lediglich mit $10 angerechnet.

Ein ausführlicherer Dialog wäre wünschenswert gewesen - nicht nur mit einem Hinweis, daß es sich um einen Versionswechsel handelt, sondern vor allem mit einem Hinweis, daß diese Aktualisierung u.U. kostenpflichtig ist.

Wer die Update-Prüfung deaktivieren möchte, kann dies in der “Preferences.sublime-settings” tun. Hier genügt ein

"update_check": true

damit nicht bei jedem Start des Editors ein entsprechender Hinweis erscheint.

Das AppArmor-Profil für Sublime Text hat sich im Praxiseinsatz bewährt, allerdings sind im Laufe der Zeit ein paar Nebenwirkungen aufgetreten: trotz expliziter Genehmigung des Lese- und Schreibzugriffs auf alle im Besitz des Benutzers befindlichen Dateien unterhalb von “/home”

owner /home/** rw,

war es nicht möglich, z.B. die Datei “.bashrc” zu bearbeiten. Dies wurde auch entsprechend im Log protokolliert:

apparmor="DENIED" operation="open" profile="/opt/sublime_text/sublime_text" name="/home/buster/.bashrc" pid=5507 comm="file_read_threa" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000

Ursache hierfür war das Einbinden der Datei “abstractions/evince”

#include <abstractions/evince>

welche wiederum den Regelsatz um den Inhalt der Datei “abstractions/private-files” erweiterte

#include <abstractions/private-files>

wodurch letztendlich die Regel

deny @{HOME}/.bash* mrk,

im Profil aktiv war. Diese unterbindet den Lesezugriff auf alle Dateien im “Home”-Verzeichnis des Benutzers welche mit “.bash” beginnen, weshalb die spätere Genehmigung ins Leere läuft.

Das aktualisierte Profil sieht wie folgt aus:

# 2020-05-11 athul/initial
# 2020-09-29 athul/replaced abstractions/evince

#include <tunables/global>

/opt/sublime_text/sublime_text {
  #include <abstractions/X>
  #include <abstractions/base>
  #include <abstractions/dbus-session-strict>
  #include <abstractions/fonts>

  deny network,

  /opt/sublime_text/ r,
  /opt/sublime_text/** r,
  /opt/sublime_text/plugin_host mrix,
  /opt/sublime_text/sublime_text mr,
  /proc/filesystems r,
  /usr/share/** r,
  /usr/bin/perl mrix,
  /usr/bin/sassc mrix,
  owner /dev/shm/* rwl,
  owner /run/user/** rw,
  @{HOME}/** rwk,
  @{HOME} rw,
}

Neben dem Ersetzen von “abstractions/evince” wurde das Profil noch um eine Zugriffsregel für den Perl-Interpreter sowie den Sass CSS-Precompiler erweitert und auf die Variable “@{HOME}” aus “tunables/global” statt der statischen Pfadangabe “/home/…” zurückgegriffen.

Als Best Practice sollte man zur Minimierung von Nebenwirkungen mit Hilfe von “aa-genprof” die Zugriffsrechte lieber dediziert vergeben statt die vorgeschlagenen Includes einzubinden.

Als Texteditor ist hier Sublime Text in der lizenzierten Version im Einsatz.

Es ist aus meiner Sicht vollkommen legitim, daß ein Lizenzinhaber gelegentlich überprüft, ob die zugewiesene Lizenz noch gültig ist. Sublime Text führt diese Online-Überprüfung aber nach jedem Start durch, was im Hinblick auf die Privatsphäre suboptimal ist - letzendlich geht es im Rahmen der erworbenen Lizenz die Entwickler nichts an, ob der Editor fünfzig mal am Tag oder um drei Uhr nachts gestartet wird.

Eine Diskussion mit dem Thema “Sublime Text calling home to license.sublimehq.com on every start?” im offiziellen Sublime Text-Forum hat leider zu keinem greifbaren Ergebnis geführt. Da auch die Sales FAQ nicht verlangt, daß das Programm nach Hause telefonieren darf / kann / soll / muss, ist eine anwendungsbezogene Sperrung des Netzwerk-Zugriffs eine naheliegende Option.

Weiterlesen