← Back to branch summary

~jbicha/firefox/update-dependencies

« back to all changes in this revision

Viewing changes to debian/usr.bin.firefox.apparmor.12.04

  • Committer: Rico Tzschichholz
  • Date: 2017-11-11 09:22:52 UTC
  • Revision ID: ricotz@ubuntu.com-20171111092252-wvf528q8spzj01px
* New upstream release from the beta channel (FIREFOX_58_0b2_BUILD1)
* Bump build-dep on rustc >= 1.21.0 and cargo >= 0.22
* Update patches
  - debian/patches/ppc-no-static-sizes.patch
  - debian/patches/unity-menubar.patch
  - debian/patches/allow-lockPref-everywhere.patch
  - debian/patches/revert-upstream-search-engine-changes.patch
  - debian/patches/warn-only-on-duplicates.patch
* Drop upstreamed/obsolete patches
  - debian/patches/build-ppc64-s390x-nss.patch
  - debian/patches/build-ppc64-s390x-rust.patch
* Update make-langpack-xpis target
  - debian/build/rules.mk
* Build language packs based on web extensions
  - debian/build/xpi-id.py
* Bump debhelper compat level to 9
* Drop 12.04/Precise specific changes
* Update copyright and license files
* Install watermark.svg from the onbording extension as symbolic icon
  - debian/build/rules.mk 
  - debian/firefox.dirs.in
* mozbuild/shellutil.py: Don't treat '~' character as special
  - debian/patches/dont-treat-tilde-as-special.patch
* Add Nepali language pack
  - update debian/config/locales.all
  - update debian/config/locales.shipped
  - update debian/control
* Don't pass -mfloat-abi=softfp when building webrtc on armhf
  - add debian/patches/webrtc-fix-compiler-flags-for-armhf.patch
  - update debian/patches/series
* Backport some skia fixes to fix a build failure on aarch64 against
  kernel headers that don't define HWCAP_CRC32
  - add debian/patches/skia-fix-aarch64-build-on-older-linux.patch
  - update debian/patches/series
* Refresh and re-enable unity-menubar.patch

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/usr.bin.firefox.apparmor.12.04
1
 
# vim:syntax=apparmor
2
 
# Author: Jamie Strandboge <jamie@canonical.com>
3
 
 
4
 
# Declare an apparmor variable to help with overrides
5
 
@{MOZ_LIBDIR}=/@MOZ_LIBDIR@
6
 
 
7
 
#include <tunables/global>
8
 
 
9
 
# We want to confine the binaries that match:
10
 
#  /@MOZ_LIBDIR@/@MOZ_APP_NAME@
11
 
#  /@MOZ_LIBDIR@/firefox
12
 
# but not:
13
 
#  /@MOZ_LIBDIR@/firefox.sh
14
 
/@MOZ_LIBDIR@/firefox{,*[^s][^h]} {
15
 
  #include <abstractions/audio>
16
 
  #include <abstractions/cups-client>
17
 
  #include <abstractions/dbus-session>
18
 
  #include <abstractions/gnome>
19
 
  #include <abstractions/ibus>
20
 
  #include <abstractions/nameservice>
21
 
  #include <abstractions/openssl>
22
 
  #include <abstractions/p11-kit>
23
 
 
24
 
  # Addons
25
 
  #include <abstractions/ubuntu-browsers.d/firefox>
26
 
 
27
 
  # for networking
28
 
  network inet stream,
29
 
  network inet6 stream,
30
 
  @{PROC}/[0-9]*/net/if_inet6 r,
31
 
  @{PROC}/[0-9]*/net/ipv6_route r,
32
 
  @{PROC}/[0-9]*/net/dev r,
33
 
  @{PROC}/[0-9]*/net/wireless r,
34
 
 
35
 
  # should maybe be in abstractions
36
 
  /etc/ r,
37
 
  /etc/mime.types r,
38
 
  /etc/mailcap r,
39
 
  /etc/xdg/*buntu/applications/defaults.list    r, # for all derivatives
40
 
  /etc/xfce4/defaults.list r,
41
 
  /usr/share/xubuntu/applications/defaults.list r,
42
 
  owner @{HOME}/.local/share/applications/defaults.list r,
43
 
  owner @{HOME}/.local/share/applications/mimeapps.list r,
44
 
  owner @{HOME}/.local/share/applications/mimeinfo.cache r,
45
 
  owner /tmp/** m,
46
 
  owner /var/tmp/** m,
47
 
  owner /{,var/}run/shm/shmfd-* rw,
48
 
  owner /{dev,run}/shm/org.chromium.* rwk,
49
 
  /tmp/.X[0-9]*-lock r,
50
 
  /etc/udev/udev.conf r,
51
 
  # Doesn't seem to be required, but noisy. Maybe allow 'r' for 'b*' if needed.
52
 
  # Possibly move to an abstraction if anything else needs it.
53
 
  deny /run/udev/data/** r,
54
 
 
55
 
  /etc/timezone r,
56
 
  /etc/wildmidi/wildmidi.cfg r,
57
 
 
58
 
  # firefox specific
59
 
  /etc/firefox*/ r,
60
 
  /etc/firefox*/** r,
61
 
  /etc/xul-ext/** r,
62
 
  /etc/xulrunner-2.0*/ r,
63
 
  /etc/xulrunner-2.0*/** r,
64
 
  /etc/gre.d/ r,
65
 
  /etc/gre.d/* r,
66
 
 
67
 
  # noisy
68
 
  deny @{MOZ_LIBDIR}/** w,
69
 
  deny /@MOZ_ADDONDIR@/** w,
70
 
  deny /usr/lib/xulrunner-addons/** w,
71
 
  deny /usr/lib/xulrunner-*/components/*.tmp w,
72
 
  deny /.suspended r,
73
 
  deny /boot/initrd.img* r,
74
 
  deny /boot/vmlinuz* r,
75
 
  deny /var/cache/fontconfig/ w,
76
 
  deny @{HOME}/.local/share/recently-used.xbel r,
77
 
 
78
 
  # TODO: investigate
79
 
  deny /usr/bin/gconftool-2 x,
80
 
 
81
 
  # These are needed when a new user starts firefox and firefox.sh is used
82
 
  @{MOZ_LIBDIR}/** ixr,
83
 
  /usr/bin/basename ixr,
84
 
  /usr/bin/dirname ixr,
85
 
  /usr/bin/pwd ixr,
86
 
  /sbin/killall5 ixr,
87
 
  /bin/which ixr,
88
 
  /usr/bin/tr ixr,
89
 
  @{PROC}/ r,
90
 
  @{PROC}/[0-9]*/cmdline r,
91
 
  @{PROC}/[0-9]*/mountinfo r,
92
 
  @{PROC}/[0-9]*/stat r,
93
 
  owner @{PROC}/[0-9]*/task/[0-9]*/stat r,
94
 
  @{PROC}/[0-9]*/status r,
95
 
  @{PROC}/filesystems r,
96
 
  @{PROC}/sys/vm/overcommit_memory r,
97
 
  /sys/devices/pci[0-9]*/**/uevent r,
98
 
  /sys/devices/platform/**/uevent r,
99
 
  /sys/devices/pci*/**/{busnum,idVendor,idProduct} r,
100
 
  owner @{HOME}/.thumbnails/*/*.png r,
101
 
 
102
 
  /etc/mtab r,
103
 
  /etc/fstab r,
104
 
 
105
 
  # Needed for the crash reporter
106
 
  owner @{PROC}/[0-9]*/environ r,
107
 
  owner @{PROC}/[0-9]*/auxv r,
108
 
  /etc/lsb-release r,
109
 
  /usr/bin/expr ix,
110
 
  /sys/devices/system/cpu/ r,
111
 
  /sys/devices/system/cpu/** r,
112
 
 
113
 
  # about:memory
114
 
  owner @{PROC}/[0-9]*/statm r,
115
 
  owner @{PROC}/[0-9]*/smaps r,
116
 
 
117
 
  # Needed for container to work in xul builds
118
 
  /usr/lib/xulrunner-*/plugin-container ixr,
119
 
 
120
 
  # allow access to documentation and other files the user may want to look
121
 
  # at in /usr and /opt
122
 
  /usr/ r,
123
 
  /usr/** r,
124
 
  /opt/ r,
125
 
  /opt/** r,
126
 
 
127
 
  # so browsing directories works
128
 
  / r,
129
 
  /**/ r,
130
 
 
131
 
  # Default profile allows downloads to ~/Downloads and uploads from ~/Public
132
 
  owner @{HOME}/ r,
133
 
  owner @{HOME}/Public/ r,
134
 
  owner @{HOME}/Public/* r,
135
 
  owner @{HOME}/Downloads/ r,
136
 
  owner @{HOME}/Downloads/* rw,
137
 
 
138
 
  # per-user firefox configuration
139
 
  owner @{HOME}/.{firefox,mozilla}/ rw,
140
 
  owner @{HOME}/.{firefox,mozilla}/** rw,
141
 
  owner @{HOME}/.{firefox,mozilla}/**/*.{db,parentlock,sqlite}* k,
142
 
  owner @{HOME}/.{firefox,mozilla}/plugins/** rm,
143
 
  owner @{HOME}/.{firefox,mozilla}/**/plugins/** rm,
144
 
  owner @{HOME}/.gnome2/firefox*-bin-* rw,
145
 
  owner @{HOME}/.cache/mozilla/{,@MOZ_APP_NAME@/} rw,
146
 
  owner @{HOME}/.cache/mozilla/@MOZ_APP_NAME@/** rw,
147
 
  owner @{HOME}/.cache/mozilla/@MOZ_APP_NAME@/**/*.sqlite k,
148
 
 
149
 
  #
150
 
  # Extensions
151
 
  # /usr/share/.../extensions/... is already covered by '/usr/** r', above.
152
 
  # Allow 'x' for downloaded extensions, but inherit policy for safety
153
 
  owner @{HOME}/.mozilla/**/extensions/** mixr,
154
 
 
155
 
  deny @{MOZ_LIBDIR}/update.test w,
156
 
  deny /usr/lib/mozilla/extensions/**/ w,
157
 
  deny /usr/lib/xulrunner-addons/extensions/**/ w,
158
 
  deny /usr/share/mozilla/extensions/**/ w,
159
 
  deny /usr/share/mozilla/ w,
160
 
 
161
 
  # Miscellaneous (to be abstracted)
162
 
  # Ideally these would use a child profile. They are all ELF executables
163
 
  # so running with 'Ux', while not ideal, is ok because we will at least
164
 
  # benefit from glibc's secure execute.
165
 
  /usr/bin/mkfifo Uxr,  # investigate
166
 
  /bin/ps Uxr,
167
 
  /bin/uname Uxr,
168
 
 
169
 
  # Site-specific additions and overrides. See local/README for details.
170
 
  #include <local/usr.bin.firefox>
171
 
}