Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 06-03-2021 11:04:22

dtux
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-13-amd64
(G)UI : KDE
Inscription : 26-12-2020

Appimage et sandbox

Bonjour,

J'ai remarqué que pour pouvoir lancer beaucoup de Appimage, il fallait rajouter l'option --no-sandbox à la commande

./chemin-vers-l-appimage


(sinon, rien ne passe au double-clic).

Si je comprends bien, les Appimage s'exécutent dans une sandbox, et en lançant cette commande, on la désactive.

D'où ma question : n'y a-t-il pas un problème de sécurité à faire ainsi ?

Hors ligne

#2 06-03-2021 11:55:31

cyrille
Adhérent(e)
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : Appimage et sandbox

Bjr,
je n'utilise pas d'appimage mais si tu cherches une sandbox, regarde du coté de firejail
https://debian-facile.org/atelier:chantier:firejail

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."
== Ainsi parlait Zarathoustra. ==
=== Nietzsche ===

Hors ligne

#3 06-03-2021 18:02:09

rodrigue7973
Membre
Lieu : beloeil
Distrib. : openSUSE Tumbleweed
(G)UI : gnome 40.0
Inscription : 19-11-2017
Site Web

Re : Appimage et sandbox

chmod +x  programme.appimage
./prgramme.appimage

Etant dyslexique, j'ai des problèmes quant à la rédaction de messages en français courant. Je vous prie dès lors d'accepter toutes mes excuses si mes interventions peuvent vous paraître étranges et je vous remercie d'avance pour votre compréhension.

Hors ligne

#4 07-03-2021 11:43:14

dtux
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-13-amd64
(G)UI : KDE
Inscription : 26-12-2020

Re : Appimage et sandbox

Bonjour et merci,

cyrille a écrit :

Bjr,
je n'utilise pas d'appimage mais si tu cherches une sandbox, regarde du coté de firejail
https://debian-facile.org/atelier:chantier:firejail


Non, ma question concerne bien les appimage.

rodrigue7973 a écrit :

chmod +x  programme.appimage
./prgramme.appimage


Oui, je le fais systématiquement mais le double-clic n'a ensuite aucun effet. D'après mes recherches, c'est un problème connu sous Debian 10 et la commande que j'ai citée plus haut permet de pouvoir lancer le programme en question.

Ce que je souhaite savoir, c'est si l'option --no-sandbox ne crée pas un problème de sécurité, car si les appimage tournent dans une sandbox, c'est pour une raison bien particulière (laquelle d'ailleurs ? wink)

Hors ligne

#5 10-03-2021 20:58:43

rodrigue7973
Membre
Lieu : beloeil
Distrib. : openSUSE Tumbleweed
(G)UI : gnome 40.0
Inscription : 19-11-2017
Site Web

Re : Appimage et sandbox

oui

Etant dyslexique, j'ai des problèmes quant à la rédaction de messages en français courant. Je vous prie dès lors d'accepter toutes mes excuses si mes interventions peuvent vous paraître étranges et je vous remercie d'avance pour votre compréhension.

Hors ligne

#6 11-03-2021 11:59:06

dtux
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-13-amd64
(G)UI : KDE
Inscription : 26-12-2020

Re : Appimage et sandbox

De quel type ?

Hors ligne

#7 12-03-2021 09:14:15

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian Sid Gnome/Xfce
Inscription : 21-09-2016

Re : Appimage et sandbox

J'avais également ce souci, impossible de lancer un fichier appimage sur ma Debian 10. Alors que tout tourne sur une MX, Ubuntu et même Siduction. question.gif question.gif

Acer Aspire 5733 - Debian Sid Gnome / Windows 10

Hors ligne

#8 13-03-2021 02:17:53

cicxjo
Membre
Distrib. : Stable
(G)UI : Kde/Xfce/cwm
Inscription : 12-03-2021

Re : Appimage et sandbox

Salut !

Le problème ne vient pas des paquets AppImage mais de Electron (encore et toujours lui !).

Pour faire simple, Electron est une technologie qui se base sur le navigateur Chromium, destiné à créer facilement des logiciels multi systèmes d'exploitation. Il permet d'utiliser des langages de programmation normalement destinés au web pour faire des logiciels de bureau. Donc, un logiciel utilisant Electron est en faite un navigateur Chromium déguisé.

Le problème avec Chromium, c'est que son fameux bac à sable est un programme SUID. Et les programmes SUID peuvent être très dangereux s'ils sont malveillants ou détournés de leur usage ! Et par chance, le noyau Linux tel que configuré chez Debian bloque l'exécution dans certaines conditions (Lesquelles ? Je ne sais pas).

Si on lance un logiciel Electron ne venant pas des dépôts, ceci nous est retourné  :

[16014:0312/233301.537646:FATAL:setuid_sandbox_host.cc(158)] The SUID sandbox helper binary was found, but is not configured correctly. Rather than run without sandboxing I'm aborting now. You need to make sure that /tmp/.mount_molotoNsprdZ/chrome-sandbox is owned by root and has mode 4755.



Nous indiquant de faire ceci :

chown root:root chrome-sandbox
chmod 4755 chrome-sandbox



Toutefois, cette solution n'est valable que si l'on récupère une archive plutôt qu'un AppImage.

Autre solution: Lancer le logiciel avec l'option --no-sandbox comme vu plus haut.

Autre solution : Autoriser le lancement en l'autorisant dans les paramètres du noyau :

sysctl kernel.unprivileged_userns_clone=1



Le réglage n'est pas persistant. Pour ça, il faut l'indiquer en dur en ajoutant kernel.unprivileged_userns_clone=1 dans le fichier /etc/sysctl.conf.
On peut recharger manuellement les règles contenues dans le fichier avec la commande  :

sysctl -p /etc/sysctl.conf



---

Après rédaction, je constate avoir totalement dévié de la question d'origine. wink

La recommandation de Google, c'est d'utiliser un autre navigateur plutôt que d'utiliser Chromium/Chrome sans le bac à sable.

Mon avis sur la question, c'est qu'un logiciel qui met en place son propre bac à sable, ce n'est pas sérieux. Si en plus, c'est un programme SUID non-vérifié par l'équipe de chez Debian... Et si en plus, il est propriétaire...
À voir également ce que fait le logiciel. Par exemple, pourquoi un éditeur de texte devrait-il pouvoir communiquer sur le réseau ?

Une bonne pratique serait d'emprisonner les AppImages dans un vrai bac à sable. cyrille a justement rédigé une page wiki sur Firejail. Également, l'article de Solène peut servir comme courte introduction.

Hors ligne

#9 13-03-2021 07:28:27

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian Sid Gnome/Xfce
Inscription : 21-09-2016

Re : Appimage et sandbox

Merci pour ta réponse on ne peut plus claire cicxjo

Acer Aspire 5733 - Debian Sid Gnome / Windows 10

Hors ligne

#10 13-03-2021 09:55:11

dtux
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-13-amd64
(G)UI : KDE
Inscription : 26-12-2020

Re : Appimage et sandbox

Merci beaucoup pour cette réponse cicxjo smile
Il y avait donc bien un risque...

Hors ligne

Pied de page des forums