[RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

Grégory1899 · 26-04-2020 20:31:29

Bonsoir à tous,
Je vous explique. Voilà, j'ai souhaité pouvoir me rendre sur ma boîte mail Tutanota à partir de mon PC. J'ai donc téléchargé le fichier indispensable pour Linux sur le site officiel de la messagerie.
Il s'agit d'un fichier AppImage, tutanota-desktop-linux.AppImage.
J'ai donc bien coché la case pour permettre l'exécution du fichier.
Cependant, rien ne se lance lors du double-clic.

J'ai recherché sur le blog de Tutanota et ai trouvé cela : Problem loading to Linux AppImage https://www.reddit.com/r/tutanota/comme … _appimage/
A partir de quoi, j'ai effectué ce qui était conseillé sur https://debianforum.de/forum/viewtopic. … 8&start=15 (c'est en allemand mais je crois avoir saisi les indications lol):
A savoir :

sudo sysctl kernel.unprivileged_userns_clone=1

Lorsque je fais ceci, il m'est possible de lancer ma messagerie, et même de placer une icône sur le bureau. Cependant, ceci n'est que temporaire, puisque si je redémarre mon PC, ça ne refonctionna pas sans cette manœuvre. (même si l'icône est bien restée sur mon bureau)

J'ai alors crée le fichier /etc/sysctl.d/00-local-userns.conf en y mettant la ligne :
kernel.unprivileged_userns_clone=1 comme conseillé.

Puis :

sudo sysctl --system

Cela fonctionne bien sur le coup, mais à chaque redémarrage, ça ne marche plus.

Je suis allé dans : /proc/sys/kernel et ai changé le 0 en 1 dans unprivileged_userns_clone. Dans ce cas, ça remarche, l'appli se lance. Mais dès que je redémarre mon PC, le 1 redevient un 0 et c'est reparti.

Quelqu'un sait comment on peut parvenir à faire en sorte que le fichier ne se remette pas sur 0 par défaut ? Ce qui ne m'obligerait pas à passer à chaque fois par le terminal pour lancer ma boîte de messagerie.

Merci.

Dernière modification par Grégory1899 (27-04-2020 10:48:55)

naguam · 26-04-2020 21:03:13

Normalement tu peux ajouter

kernel.unprivileged_userns_clone=1

dans /etc/sysctl.conf
Cela restaurera l'opération au reboot, et si tu veux éviter de rebooter et appliquer la modif du fichier (pour tester)

sysctl -p

Cependant, de ce que je peux lire, cette option amène des failles de sécurité.

Dernière modification par naguam (26-04-2020 21:11:24)

Grégory1899 · 26-04-2020 21:36:08

Lorsque j'ajoute

kernel.unprivileged_userns_clone=1

dans /etc/sysctl.conf ça ne marche pas.

J'ai vérifié sur le fichier, je suis passé par nano sur le terminal, et cette ligne a pourtant bien été ajoutée toute en haut.

sysctl -p

ne donne rien non plus.

En fait, le reboot restaure toujours le fichier unprivileged_userns_clone dans /proc/sys/kernel et remplace le 1 par 0 à chaque redémarrage.

Dernière modification par Grégory1899 (26-04-2020 21:44:55)

naguam · 26-04-2020 21:45:18

Je me suis peut-être mal exprimé mais l'option à rajouter demande ensuite un reboot ou la commande à faire en root pour être appliquée.
Mais vu ce que tu as mis dans ton premier post, en théorie cela aurait déjà du fonctionner.
J'ai testé de mon côté sur une debian buster à jour, cela fonctionne.
Peux-tu donner le retour de

cat /etc/sysctl.conf

Dernière modification par naguam (26-04-2020 21:56:03)

Trefix · 27-04-2020 06:21:55

Bonjour.

Question ...on : la config peut-elle être faite par sudo ou faut-il passer par su ? Je n'ai pas de problème d'appimage, mais avec le plugin HP c'était SU obligatoire et échec avec Sudo...

Au ça où... Bon courage.

Grégory1899 · 27-04-2020 08:48:34

Merci à tous les 2 !

naguam a écrit :

Peux-tu donner le retour de
cat /etc/sysctl.conf

gregory@DEBIAN:~$

cat /etc/sysctl.conf

#kernel.unprivileged_userns_clone=1

# /etc/sysctl.conf - Configuration file for setting system variables

# See /etc/sysctl.d/ for additional system variables.

# See sysctl.conf (5) for information.

#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console

#kernel.printk = 3 4 1 3

##############################################################3

# Functions previously found in netbase

#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)

# Turn on Source Address Verification in all interfaces to

# prevent some spoofing attacks

#net.ipv4.conf.default.rp_filter=1

#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies

# See http://lwn.net/Articles/277146/

# Note: This may impact IPv6 TCP sessions too

#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4

#net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6

#  Enabling this option disables Stateless Address Autoconfiguration

#  based on Router Advertisements for this host

#net.ipv6.conf.all.forwarding=1

###################################################################

# Additional settings - these settings can improve the network

# security of the host and prevent against some network attacks

# including spoofing attacks and man in the middle attacks through

# redirection. Some network environments, however, require that these

# settings are disabled so review and enable them as needed.

#

# Do not accept ICMP redirects (prevent MITM attacks)

#net.ipv4.conf.all.accept_redirects = 0

#net.ipv6.conf.all.accept_redirects = 0

# _or_

# Accept ICMP redirects only for gateways listed in our default

# gateway list (enabled by default)

# net.ipv4.conf.all.secure_redirects = 1

#

# Do not send ICMP redirects (we are not a router)

#net.ipv4.conf.all.send_redirects = 0

#

# Do not accept IP source route packets (we are not a router)

#net.ipv4.conf.all.accept_source_route = 0

#net.ipv6.conf.all.accept_source_route = 0

#

# Log Martian Packets

#net.ipv4.conf.all.log_martians = 1

#

###################################################################

# Magic system request Key

# 0=disable, 1=enable all, >1 bitmask of sysrq functions

# See https://www.kernel.org/doc/html/latest/admin-guide/sysrq.html

# for what other values do

#kernel.sysrq=438

Trefix a écrit :

Bonjour.

Question ...on : la config peut-elle être faite par sudo ou faut-il passer par su ? Je n'ai pas de problème d'appimage, mais avec le plugin HP c'était SU obligatoire et échec avec Sudo...

Au ça où... Bon courage.

Je vais tester et te dirai.

Edit à toto : Pour que la lecture du code sur le forum soit lisible par tous, il faut bien isoler chaque commande de son retour. Modif fête.
Oh, quel beau BB …code où comment mettre en forme vos messages dans le fofo

naguam · 27-04-2020 08:51:05

Tu as mis un # devant ton rajout ce qui signifie que c'est un commentaire. Il ne sera donc pas interprété.

smolski · 27-04-2020 08:56:50

naguam a écrit :

Tu as mis un # devant ton rajout ce qui signifie que c'est un commentaire.

Voir le tuto :
https://debian-facile.org/doc:programmation:commenter

Grégory1899 · 27-04-2020 10:44:45

Je suis trop ... on, j'ai honte.

En effet, je me suis précipité en mettant le texte après le #, ce qui explique que ça ne fonctionnait pas.
Je viens d'y remédier. Mais en ajoutant la ligne

kernel.unprivileged_userns_clone=1

(sans le #) dans le fichier

/etc/sysctl.d/00-local-userns.conf

. Car je crains qu'une mise à jour soit perturbée si je change le fichier

 /etc/sysctl.conf

.
Et ça fonctionne, je parviens à lancer ma boîte de messagerie Tutanota à partir de l'icône du bureau.
Par contre pour ce qui est des failles de sécurité amenées vous pensez que c'est réellement dangereux ? Une mise à jour corrigera-t'elle ce problème à l'avenir ?

En tout cas je vous remercie tous, et vais de ce pas inscrire "Résolu" dans l'intitulé du topic.

Edit à toto : Utilisation du BBCode sur le forum pour faciliter la lecture des codes par les plus débutants - Modif fête.
Oh, quel beau BB …code où comment mettre en forme vos messages dans le fofo

naguam · 27-04-2020 10:59:07

Justement cette option est dans le kernel et est par default à zero pour des raisons de sécurité.
Donc la sécurité est déjà là en laissant l'option à zero. L'explication https://security.stackexchange.com/ques … s-clone-do
D'ailleurs cette option de désactivation n'existe que sous debian (debian patch, mais ce ne serait pas upstream et d'ailleurs sous fedora je n'ai pas cette option).
Actuellement en upstream il semblerais que pour activer ou pas cette option, cela doit se faire au moment de la configuration du kernel avant la compilation.

https://lwn.net/Articles/673597/ a écrit :

One of the first issues to be aired had to do with naming: it turns out that Debian currently carries a similar patch, but, on Debian systems, the knob is called unprivileged_userns_clone and doesn't support the "privileged users only" setting.

Activer les user-namespace est dans l'idée pas forcement idiote (zone isolée ou les processus du user à plus de droit) mais c'est actuellement une potentielle source de failles de sécurité notammement pour les élévations de de privilèges quand c'est couplé avec d'autres failles de sécurités qui seraient découvertes.
Mais les namespace et (avec les cgroups) sont très utilisés par les containers mais c'est pas du user-namespace.

Mais je suis pas un pro et je me fie aux articles, je suis en train de me documenter, et notamment de lire les man 2 clone, man 7 namespaces et man 7 user_namespaces.

Dernière modification par naguam (27-04-2020 11:38:12)

Debian-facile

#1 26-04-2020 20:31:29

[RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

#2 26-04-2020 21:03:13

Re : [RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

#3 26-04-2020 21:36:08

Re : [RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

#4 26-04-2020 21:45:18

Re : [RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

#5 27-04-2020 06:21:55

Re : [RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

#6 27-04-2020 08:48:34

Re : [RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

#7 27-04-2020 08:51:05

Re : [RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

#8 27-04-2020 08:56:50

Re : [RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

#9 27-04-2020 10:44:45

Re : [RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

#10 27-04-2020 10:59:07

Re : [RÉSOLU] Problème pour exécuter AppImage sur Debian Buster

Pied de page des forums