Aktualisiertes AppArmor-Profil für Sublime Text

30. September 2020 · Betriebssysteme · andreas · Kein Kommentar

Das AppArmor-Profil für Sublime Text hat sich im Praxiseinsatz bewährt, allerdings sind im Laufe der Zeit ein paar Nebenwirkungen aufgetreten: trotz expliziter Genehmigung des Lese- und Schreibzugriffs auf alle im Besitz des Benutzers befindlichen Dateien unterhalb von “/home”

owner /home/** rw,

war es nicht möglich, z.B. die Datei “.bashrc” zu bearbeiten. Dies wurde auch entsprechend im Log protokolliert:

	apparmor="DENIED" operation="open" profile="/opt/sublime_text/sublime_text" name="/home/buster/.bashrc" pid=5507 comm="file_read_threa" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000

Ursache hierfür war das Einbinden der Datei “abstractions/evince”

#include <abstractions/evince>

welche wiederum den Regelsatz um den Inhalt der Datei “abstractions/private-files” erweiterte

#include <abstractions/private-files>

wodurch letztendlich die Regel

deny @{HOME}/.bash* mrk,

im Profil aktiv war. Diese unterbindet den Lesezugriff auf alle Dateien im “Home”-Verzeichnis des Benutzers welche mit “.bash” beginnen, weshalb die spätere Genehmigung ins Leere läuft.

Das aktualisierte Profil sieht wie folgt aus:

/etc/apparmor.d/opt.sublime_text.sublime_text
# 2020-05-11 athul/initial
# 2020-09-29 athul/replaced abstractions/evince

#include <tunables/global>

/opt/sublime_text/sublime_text {
  #include <abstractions/X>
  #include <abstractions/base>
  #include <abstractions/dbus-session-strict>
  #include <abstractions/fonts>

  deny network,

  /opt/sublime_text/ r,
  /opt/sublime_text/** r,
  /opt/sublime_text/plugin_host mrix,
  /opt/sublime_text/sublime_text mr,
  /proc/filesystems r,
  /usr/share/** r,
  /usr/bin/perl mrix,
  /usr/bin/sassc mrix,
  owner /dev/shm/* rwl,
  owner /run/user/** rw,
  @{HOME}/** rwk,
  @{HOME} rw,
}

Neben dem Ersetzen von “abstractions/evince” wurde das Profil noch um eine Zugriffsregel für den Perl-Interpreter sowie den Sass CSS-Precompiler erweitert und auf die Variable “@{HOME}” aus “tunables/global” statt der statischen Pfadangabe “/home/…” zurückgegriffen.

Als Best Practice sollte man zur Minimierung von Nebenwirkungen mit Hilfe von “aa-genprof” die Zugriffsrechte lieber dediziert vergeben statt die vorgeschlagenen Includes einzubinden.

Verlauf der Windows-Remoteunterstützung bearbeiten oder löschen

10. September 2020 · Betriebssysteme · andreas · Kein Kommentar

Leider hat Microsoft im Verbindungsdialog der Windows-Remoteunterstützung keine Möglichkeit vorgesehen, Elemente im Verlauf entweder zu bearbeiten oder zu löschen.

Wer dies trotzdem tun möchte, findet den Inhalt des Verlaufs in der Datei “RAExpertHistory.xml” im Ordner “%localappdata%”.

Das Ende ... ist vorbei

08. August 2020 · Betriebssysteme · andreas · Kein Kommentar

Gerade auf einem Test-PC nochmals Windows 7 reaktiviert:

Schön ist die Formulierung, daß Microsoft dringend empfiehlt, nicht nur die Soft- sondern auch gleich die Hardware auszutauschen und “Windows 10 auf einem neuen PC zu verwenden”.

netdom statt CNAME-Alias

30. Juli 2020 · Betriebssysteme · andreas · Kein Kommentar

Unter Server 2019 gab es seltsame Probleme beim Zugriff auf Netzwerkfreigaben über einen CNAME-Alias.

Auf manchen Clients wurden Zugriffe auf Freigaben sowohl im Explorer als auch an der Kommandozeile nur erlaubt, wenn der Servername vollqualifiziert angegeben wurde und ansonsten abgelehnt:

	C:\>net use f: \\fileserver.fqdn\freigabe 
The command completed successfully.

C:\>net use f: \\fileserver\freigabe 
System error 1240 has occurred.

The account is not authorized to log in from this station.

Des Rätsels Lösung war die Einrichtung des Alias nicht wie bisher auf dem DNS-Server über einen CNAME-Alias, sondern direkt auf dem betroffenen Server mit Hilfe von netdom durchzuführen:

	C:\>netdom computername servername /add:fileserver.fqdn
fileserver.fqdn
wurde als alternativer Name für den Computer hinzugefügt.

Der Befehl wurde ausgeführt.

Wer die anschließende DNS-Registrierung auf dem DNS-Server beschleunigen will, kann hierfür ipconfig verwenden:

	C:\>ipconfig /registerdns

Windows-IP-Konfiguration

Die Registrierung der DNS-Ressourceneinträge für alle Adapter dieses Computer wurde initialisiert. Fehler werden in der Ereignisanzeige in 15 Minuten aufgeführt.

Anschließend funktioniert die Verbindung von allen Clients problemlos:

	C:\>net use f: \\fileserver\freigabe 
The command completed successfully.

dpkg und Status "deinstall"

26. Juli 2020 · Betriebssysteme · andreas · Kein Kommentar

Beim gelegentlichen Erstellen der Liste aller installierten Pakete mit “dpkg –get-selections” ist mir aufgefallen, daß ein paar Pakete mit dem Status “deinstall” angezeigt werden, z.B.

	python3.7                              install
python3.7-minimal                      install
qemu-kvm                               deinstall
qemu-system-common                     deinstall
qemu-system-x86                        deinstall
qt5-gtk-platformtheme:amd64            install

Diese waren zum größten Teil Überbleibsel von Experimenten mit virutellen Maschinen, in deren Verlauf ich “virt-manager” installiert und anschließend mittels “apt purge …” wieder vom System entfernt habe, inklusive anschließendem “apt autoremove”.

Warum sind die Pakete offensichtlich noch vorhanden und werden von einem “autoremove” nicht entfernt? Ein Blick in die man-Page brachte leider nicht die erhoffte Erleuchtung:

	deinstalliere
  Das Paket ist zur Deinstallation ausgewählt 
  (d.h. wir wollen alle Dateien außer den
  Konfigurationsdateien entfernen).

Im englischen Debian-Forum findet sich eine plausible Erklärung , zwar aus 2009, aber sie passt:

… this means that all package files have been selected for removal except the configuration files.

sowie

If there is no configuration, cache files or whatever to be removed, then the package will be completely removed and not left in ‘c’ (deinstall) state.

Dependencies that were installed automatically are never purged by default (if not uninstalled manually, using the purge command).

Das erklärt, warum manche Pakete noch im Status “deinstall” vorhanden waren:

Der “virt-manager” war weg, weil mittels “apt purge …” deinstalliert. Alle Depencencies ohne Konfigurationsdatei(en) waren ebenfalls weg, gelistet wurden noch die Reste, bei denen zwar die Pakete entfernt wurden, nicht aber die Konfigurationen.