Apparmorの問題:IcedteaプラグインがFirefoxをフリーズする(35.0.1)
EDIT5:最後におそらくApparmorの問題です。
/usr/lib/firefox/firefox{,*[^s][^h]}
本当に文句モードですが、
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_Java
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
/usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
強制モードです。文句を言うためにそれらを切り替える方法がわかりません。 /etc/apparmor.d/にある唯一のプロファイルはusr.bin.firefox(/ usr/bin/firefoxはどうやら/usr/lib/firefox/firefox.shへのリンクである)であり、Sudo aa- complain /etc/apparmor.d/usr.bin.firefoxバグレポートがあります https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1293439 'fixとマークされていますリリースされました」が、私は修正を楽しんでいないようです:-)
回避策の1つは、ここに記載されている方法に従うことです IcedTeaでFirefox AppArmorプロファイルを使用する方法Javaプラグイン? 、つまり、Firefoxプロファイルを完全に無効にする:
Sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
Sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
Sudo service apparmor reload
しかし、OPが述べているように、これは満足のいく解決策ではありません...そして今まで、誰もより良い解決策を提案しませんでした...
Apparmorからの拒否メッセージは次のとおりです。
type=AVC msg=audit(1424428803.909:134): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/run/user/1000/icedteaplugin-franck-OzMRPQ/4468-icedteanp-plugin-debug-to-appletviewer" pid=4513 comm="Java" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428803.909:135): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/run/user/1000/icedteaplugin-franck-OzMRPQ/4468-icedteanp-plugin-to-appletviewer" pid=4480 comm="Java" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428804.046:136): apparmor="DENIED" operation="exec" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/usr/bin/logger" pid=4514 comm="Java" requested_mask="x" denied_mask="x" fsuid=1000 ouid=0
type=AVC msg=audit(1424428804.395:137): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/proc/4477/cmdline" pid=4480 comm="Java" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428804.406:138): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/run/user/1000/dconf/user" pid=4480 comm="Java" requested_mask="wrc" denied_mask="wrc" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428804.407:139): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/run/user/1000/dconf/user" pid=4480 comm="Java" requested_mask="wrc" denied_mask="wrc" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428804.407:140): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/run/user/1000/dconf/user" pid=4480 comm="Java" requested_mask="wrc" denied_mask="wrc" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428804.407:141): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/run/user/1000/dconf/user" pid=4480 comm="Java" requested_mask="wrc" denied_mask="wrc" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428804.408:142): apparmor="DENIED" operation="connect" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" pid=4517 comm=64636F6E6620776F726B6572 family="unix" sock_type="stream" protocol=0 requested_mask="send receive connect" denied_mask="send connect" addr=none peer_addr="@/tmp/dbus-VT8SEPjAqx" peer="unconfined"
type=AVC msg=audit(1424428804.408:143): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/run/user/1000/dconf/user" pid=4517 comm=64636F6E6620776F726B6572 requested_mask="wrc" denied_mask="wrc" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428804.408:144): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/run/user/1000/dconf/user" pid=4517 comm=64636F6E6620776F726B6572 requested_mask="wrc" denied_mask="wrc" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428804.880:145): apparmor="DENIED" operation="connect" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" pid=4480 comm="Java" family="unix" sock_type="stream" protocol=0 requested_mask="send receive connect" denied_mask="send connect" addr=none peer_addr="@/tmp/dbus-VT8SEPjAqx" peer="unconfined"
type=AVC msg=audit(1424428804.881:146): apparmor="DENIED" operation="connect" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" pid=4480 comm="Java" family="unix" sock_type="stream" protocol=0 requested_mask="send receive connect" denied_mask="send connect" addr=none peer_addr="@/tmp/dbus-VT8SEPjAqx" peer="unconfined"
type=AVC msg=audit(1424428804.929:147): apparmor="DENIED" operation="connect" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" pid=4480 comm="Java" family="unix" sock_type="stream" protocol=0 requested_mask="send receive connect" denied_mask="send connect" addr=none peer_addr="@/tmp/dbus-VT8SEPjAqx" peer="unconfined"
type=AVC msg=audit(1424428804.931:148): apparmor="DENIED" operation="connect" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" pid=4480 comm="Java" family="unix" sock_type="stream" protocol=0 requested_mask="send receive connect" denied_mask="send connect" addr=none peer_addr="@/tmp/dbus-VT8SEPjAqx" peer="unconfined"
type=AVC msg=audit(1424428805.106:149): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/proc/sys/net/ipv4/ip_local_port_range" pid=4480 comm="Java" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
type=AVC msg=audit(1424428805.106:150): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/proc/sys/net/ipv4/ip_local_port_range" pid=4480 comm="Java" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
type=AVC msg=audit(1424428805.929:151): apparmor="DENIED" operation="open" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/home/franck/.mozilla/firefox/profiles.ini" pid=4480 comm="Java" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1424428805.930:152): apparmor="DENIED" operation="exec" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/usr/bin/logger" pid=4519 comm="Java" requested_mask="x" denied_mask="x" fsuid=1000 ouid=0
type=AVC msg=audit(1424428805.981:153): apparmor="DENIED" operation="exec" profile="/usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk" name="/usr/bin/logger" pid=4520 comm="Java" requested_mask="x" denied_mask="x" fsuid=1000 ouid=0
================================================== ===========================
Javaアプレットを使用して一部のクライアントVPNポータルにアクセスする必要があり、Ubuntu 14.10/Firefox 35.0.1でIcedteaプラグインを使用しようとしています。
アプレットを実行しようとすると、Firefoxはしばらくフリーズします。それは長い時間になるかもしれないし、Firefoxを殺さなければならないかもしれない。
これは、私が試すすべてのアプレット、たとえばここにあるすべてのアプレットで発生するようです http://icedtea.classpath.org/wiki/IcedTea-Web-Tests 。
ログを含む.icedteaディレクトリが見つかりません。
ターミナルからFirefoxを実行すると、いくつかの情報が得られます。
Java version "1.7.0_75"
OpenJDK Runtime Environment (IcedTea 2.5.4) (7u75-2.5.4-1~utopic1)
OpenJDK 64-Bit Server VM (build 24.75-b04, mixed mode)
Java.io.FileNotFoundException: /run/user/1000/icedteaplugin-franck-2KgVYB/2434-icedteanp-plugin-to-appletviewer (Permission non accordée)
at Java.io.FileInputStream.open(Native Method)
at Java.io.FileInputStream.<init>(FileInputStream.Java:146)
at Java.io.FileInputStream.<init>(FileInputStream.Java:101)
at Sun.applet.PluginMain.connect(PluginMain.Java:186)
at Sun.applet.PluginMain.main(PluginMain.Java:148)
<snip>
Something very bad happened. I don't know what to do, so I am going to exit :(
###!!! [Parent][MessageChannel::Call] Error: Channel timeout: cannot send/recv
これを修正する方法はありますか?
編集:Firefoxのapparmorがenforceモードではなく、complainモードになっていることを確認しました。
EDIT2: 'firefox -g'で再実行しましたが、それ以上の情報は得られませんでした。アプレットを実行したときの出力は次のとおりです。
[New Thread 0x7ffd5a3fe700 (LWP 5254)]
Java version "1.7.0_75"
OpenJDK Runtime Environment (IcedTea 2.5.4) (7u75-2.5.4-1~utopic1)
OpenJDK 64-Bit Server VM (build 24.75-b04, mixed mode)
Java.io.FileNotFoundException: /run/user/1000/icedteaplugin-franck-s7zldV/5255-icedteanp-plugin-to-appletviewer (Permission non accordée)
at Java.io.FileInputStream.open(Native Method)
at Java.io.FileInputStream.<init>(FileInputStream.Java:146)
at Java.io.FileInputStream.<init>(FileInputStream.Java:101)
at Sun.applet.PluginMain.connect(PluginMain.Java:186)
at Sun.applet.PluginMain.main(PluginMain.Java:148)
(<unknown>:5264): dconf-CRITICAL **: unable to create file '/run/user/1000/dconf/user': Permission non accordée. dconf will not work properly.
(<unknown>:5264): dconf-CRITICAL **: unable to create file '/run/user/1000/dconf/user': Permission non accordée. dconf will not work properly.
(<unknown>:5264): dconf-CRITICAL **: unable to create file '/run/user/1000/dconf/user': Permission non accordée. dconf will not work properly.
(<unknown>:5264): dconf-CRITICAL **: unable to create file '/run/user/1000/dconf/user': Permission non accordée. dconf will not work properly.
(<unknown>:5264): dconf-CRITICAL **: unable to create file '/run/user/1000/dconf/user': Permission non accordée. dconf will not work properly.
(<unknown>:5264): dconf-CRITICAL **: unable to create file '/run/user/1000/dconf/user': Permission non accordée. dconf will not work properly.
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_register_object: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_register_object: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_get_unique_name: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_register_object: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_register_object: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_get_unique_name: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_register_object: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_register_object: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_get_unique_name: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_register_object: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_register_object: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
(<unknown>:5264): GLib-GIO-CRITICAL **: g_dbus_connection_get_unique_name: assertion 'G_IS_DBUS_CONNECTION (connection)' failed
Unable to use Firefox's proxy settings. Using "DIRECT" as proxy type.
Something very bad happened. I don't know what to do, so I am going to exit :(
###!!! [Parent][MessageChannel::Call] Error: Channel timeout: cannot send/recv
そして、これがlsの出力です:
~$ ls -l /run/user/1000/icedteaplugin-franck-s7zldV/5255-icedteanp-plugin-to-appletviewer
prw------- 1 franck franck 0 févr. 18 09:41 /run/user/1000/icedteaplugin-franck-s7zldV/5255-icedteanp-plugin-to-appletviewer
EDIT4:これに関連する可能性があります https://bugzilla.redhat.com/show_bug.cgi?id=9768
最初に、サブプロファイルをコンプレインモードにします。これを手動で行うには、プロファイルにflags =(complain)を追加します。
eg.
/usr/lib/firefox/firefox{,*[^s][^h]}//browser_Java flags=(complain) {
...
}
それが完了したら、プロファイルをリロードします。
ルールの最初のパスでは、リストされた拒否を修正するために/ usr/lib/firefox/firefox {、* [^ s] [^ h]} // browser_openjdkに追加する必要があります。これらが追加された後、さらに拒否されたメッセージがあるかもしれないことに注意してください。また、Ubuntuは拡張dbusメディエーションを有効にしており、その拒否はカーネルリングバッファーに移動しないため、拒否されたメッセージについては/ var/log/syslogを確認する必要があります。また、新しいプロファイルが追加されたことを確認するために、このプロファイルをリロードする必要があります。
/usr/bin/logger Pix, # choose transition that makes sense for your profiles
/proc/sys/net/ipv4/ip_local_port_range r,
/proc/@{pid}/cmdline r,
owner @{HOME}/.mozilla/firefox/profiles.ini r,
owner /run/user/1000/dconf/user rw,
owner /run/user/1000/icedteaplugin-franck-OzMRPQ/4468-icedteanp-plugin-to-appletviewer r,
unix peer=(addr=@/tmp/dbus-* label=unconfined),
次のルールを..../browser_openjdk子プロファイルに追加してみてください:
owner /run/user/*/icedteaplugin-*/* r,
/usr/bin/logger Pix,
@{PROC}/@{pid}/cmdline r,
owner /run/user/*/dconf/user rw,
@{PROC}/sys/net/ipv4/ip_local_port_range r,
owner @{HOME}/.mozilla/firefox/profiles.ini r,
unix (send, receive, connect),
私はこれらの特権について少し心配します。dconfに保存されているものの全体はわかりませんが、Web上のすべてのJavaアプレットに与えることを嫌がります。 JavaがUnixドメインソケットを介して制限のないプロセスに接続できるようにすることも、エスケープの手段になる可能性があります。
ありがとう