← Back to branch summary

~jdstrand/firefox/firefox-3.5-apparmor

« back to all changes in this revision

Viewing changes to debian/usr.bin.firefox-3.5

  • Committer: Jamie Strandboge
  • Date: 2009-08-26 13:22:59 UTC
  • Revision ID: jamie@canonical.com-20090826132259-p69sugs0ks2108sd
adjust profile for sun java:
- add network inet6 stream and proc entries for ipv6
- access to @{HOME}/.java
- access to /etc/java-*-sun/**
- access to /usr/lib/jvm/java-*-sun-1.*/jre/bin/java

reduce noise:
- deny write access to /usr/lib/firefox-3.*/**, /usr/lib/firefox-addons/** and
  deny /usr/lib/xulrunner-addons/**

work for new user (allow access to /bin/which)

mozplugger improvements (/etc/mozpluggerr and /usr/bin/mplayer)

adjust access to evince to be PUxr (ie use a profile if it is there, otherwise
run unconfined)

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/usr.bin.firefox-3.5
18
18
 
19
19
  # for networking
20
20
  network inet stream,
 
21
  network inet6 stream,
 
22
  @{PROC}/[0-9]*/net/if_inet6 r,
 
23
  @{PROC}/[0-9]*/net/ipv6_route r,
21
24
 
22
25
  # sounds
23
26
  /etc/sound/ r,
39
42
  /etc/gre.d/ r,
40
43
  /etc/gre.d/* r,
41
44
 
 
45
  # noisy
 
46
  deny /usr/lib/firefox-3.*/** w,
 
47
  deny /usr/lib/firefox-addons/** w,
 
48
  deny /usr/lib/xulrunner-addons/** w,
 
49
 
42
50
  # These are needed when a new user starts firefox and firefox.sh is used
43
51
  /usr/lib/firefox-3.*/** ixr,
44
52
  /usr/bin/basename ixr,
45
53
  /sbin/killall5 ixr,
 
54
  /bin/which ixr,
46
55
  @{PROC}/ r,
47
56
  @{PROC}/[0-9]*/cmdline r,
48
57
  @{PROC}/[0-9]*/stat r,
89
98
  @{HOME}/.adobe/** rw,
90
99
  @{HOME}/.macromedia/ rw,
91
100
  @{HOME}/.macromedia/** rw,
 
101
  @{HOME}/.java/ rw,
 
102
  @{HOME}/.java/** rwk,
92
103
 
93
104
  #
94
105
  # Plugins/helpers
105
116
  /var/lib/ r,
106
117
  /var/lib/** mr,
107
118
  # noisy
108
 
  deny /bin/which mrx,
109
119
  deny /usr/share/mozilla/extensions/**/ w,
110
120
  deny /usr/lib/mozilla/extensions/**/ w,
111
121
  deny /usr/lib/firefox-3.*/update.test w,
120
130
  #
121
131
 
122
132
  # evince has its own profile, so change to it
123
 
  /usr/bin/evince Pxr,
 
133
  /usr/bin/evince PUxr,
124
134
 
125
135
  # miscellaneous
126
136
  #/usr/bin/eog Uxr,
140
150
  /usr/bin/totem Uxr,
141
151
 
142
152
  # mozplugger
 
153
  /etc/mozpluggerrc r,
143
154
  /usr/bin/mozplugger-helper Uxr,
 
155
  /usr/bin/mplayer Uxr,
144
156
 
145
157
  # java
146
158
  /usr/lib/jvm/java-6-openjdk/jre/bin/java Uxr,
 
159
  /etc/java-*-sun/** r,
 
160
  /usr/lib/jvm/java-*-sun-1.*/jre/bin/java Uxr,
 
161
 
147
162
}