Update 6. Mai 2010

[Sundtek]

ok die Ursache fuer dieses Problem ist das der Treiber vor KDE bzw. hald gestartet wird und HAL (Hardware Abstraction Layer) das Geraet im Nachhinein nicht kennt.
Ein Workaround waere das Geraet neu anzuschliessen, wir werden dies mit dem naechsten Update beruecksichtigen.

[fritv]

Das ging aber flott. Danke.

Ich warte jetzt einfach mal das nächste Update ab.

[Sundtek]

Diese 'Zwischenversion' sollte das Hardware Abstraction Layer Registrierungs Problem soweit loesen, und damit sollte Kaffeine nach einem Reboot wie gewohnt ohne das Geraet neu anschliessen zu muessen funktionieren:

http://www.sundtek.de/media/sundtek_installer_100620.sh

(es handelt sich hierbei noch um eine Entwicklerversion, die naechste offizielle Release wird in ca. einer Woche freigegeben werden)

[kalibari]

Apparmor sollte eher fuer Server gedacht sein.

Das hat doch nichts mit einem Server zu tun. Apparmor oder SElinux sind genau richtig für geschlossene Programme wie z.B. auch Skype. Nur bei Mediasrv bekomme ich das seit einigen Versionen nicht mehr zum laufen.

[Sundtek]

App Armor sollte in der Syslog Datei anzeigen welche Rule es blockiert.

Bei unseren Tests mit dem Ubuntu Server Kernel gab es soweit keine Probleme, sollten wir etwas uebersehen haben wuerden wir dies natuerlich gerne beruecksichtigen.

[kalibari]

In welchen Mode läuft den bei euch Apparmor? Im enforce Mode läuft das bei mir nicht. Zumindest nicht nach einem Neustart. Da hilft dann auch keine Audit weiter. Könnt ihr mir ein Profil zur Verfügung stellen? Das wäre klasse.

[Sundtek]

Bezueglich App Armor, es gibt einen offiziellen Apparmor Support Chat auf irc.oftc.net #apparmor
Als Chat Client eignet sich irssi unter Linux/BSD/..

Wir sind soweit lediglich auf Video spezialisiert, auf etwaige Linux Erweiterungen welche einen eigenstaendigen Support enthalten verweisen wir am Besten weiter.
Unser Treiber wird systemweit in Ihrem Fall maximal als Netzwerkapplikation laufen welche Unix Domain Sockets zur internen Kommunikation verwendet. Dies sollte nicht von Apparmor geblockt werden.

[kalibari]

OK, ich hab jetzt endlich wieder ein funktionierendes Profil zusammen. Es zeigt sich auch wieder wie bei allen anderen Versionen, dass der Treiber unter bestimmten Umständen Zugriffe auf TCP IPv4 und IPv6 versucht.

/opt/bin/mediasrv {
  deny network inet stream,
  deny network inet6 stream,

[Sundtek]

Die einzigen Netzwerkverbindungen welche der Treiber erstellt sind:
1. Durch das Netzwerkfeature, der Socket wird erstellt jedoch solange das Feature nicht aktiviert wird - wird der Port nicht reserviert
2. Pulseaudio, zustaendig ist hierfuer jedoch ausschliesslich die Pulseaudio Bibliothek vom System, die Pulseaudio Session wird jedoch direkt in den Treiber geladen.
3. Die interne Kommunikation findet mittels Unix Domainsockets statt

Darueber hinaus gibt es keinerlei Verbindung zu unseren oder anderen Servern. Fehler bzw. Probleme mit AppArmor sollten dem AppArmor Team mitgeteilt werden. (z.B.: mittels IRC irc.oftc.net #apparmor)

[kalibari]

Dann wird wohl Punkt 1 der Grund dafür sein. Warum soll ich mich da an einen Apparmor Support wenden? Wenn Apparmor hier einen Zugriff feststellt, wird das auch stimmen.

[Sundtek]

Da Apparmor Entwickler am Besten wissen wie man solche Faelle je nach System einpflegen kann. Auch nehmen wir an das AppArmor einige Faelle nicht sonderlich gut behandelt und noch etwas Allgemeines finetuning in den mitgelieferten Rules benoetigen. Wir hatten uns bereits mit einigen Entwicklern unterhalten, fuer Multimediasysteme ist AppArmor nicht besonders nuetzlich. Fuer Serversysteme welche sich nicht besonders haeufig aendern hat es unter Umstaenden seinen Anwendungsfall.

[kalibari]

Das mag vielleicht die Ansicht von Sundtek sein. Für mich und für viele Andere User ist es aber sehr nützliches Werkzeug. Man kann damit etliche Programme wie z.B. Skype, Teamviewer, Firefox, Mediasrv überwachen und so zum Teil sogar Programmierfehler entdecken. Warum sonst wird allen modernen Desktop- Distributionen Apparmor oder SElinux per default im Kernel aktiviert oder als Modul geladen?

[Sundtek]

Fuer den durchschnittlichen Anwender ist es einfach zu kompliziert. Es kann nicht das Ziel sein jedem Benutzer eine manuelle Textkonfiguration aufzuzwingen um verschiedene Applikationen zum Laufen zu bekommen.
Ubuntu hat zudem standardmaessig ein relativ lockeres Setup.
AppArmor hat durchaus seine Berechtigung, jedoch hauptsaechlich fuer eine etwas erfahrenere Zielgruppe.

[kalibari]

Unter Fedora 13 klappt die Installation Out of the box nicht:


SELinux hat auf Ihrem System ein verdächtiges Verhalten entdeckt

Zusammenfassung
SELinux verhindert /usr/libexec/hald-probe-video4linux "connectto" Zugriff on @/de/sundtek/mediasocket.

Detaillierte Beschreibung
[hald-probe-vide hat einen zugelassenen Typ (hald_t).Dieser Zugriff wurde nicht verweigert.]

SELinux verweigerte den von hald-probe-vide angeforderten Zugriff.
Da nicht davon ausgegangen wird, dass dieser Zugriff von hald-probe-vide benötigt wird, signalisiert dies möglicherweise
einen Einbruchsversuch. Es ist ausserdem möglich, dass diese spezielle Version oder Konfiguration der Anwendung den
zusätzlichen Zugriff verursacht

Zusätzliche Informationen
Quellkontext:  system_u:system_r:hald_t:s0
Zielkontext:  unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Zielobjekte:  @/de/sundtek/mediasocket [ unix_stream_socket ]
Quelle:  hald-probe-videQuellpfad:  /usr/libexec/hald-probe-video4linuxPort:  <Unbekannt>
Host:  RPM-Pakete der Quelle:  hal-0.5.14-3.fc13


Was ist hier der Vorschlag? SELinux komplett deaktivieren??

[Sundtek]

Erstens bitte einmal http://www.sundtek.de/media/sundtek_installer_development.sh testen.
Sollte dies nicht funktionieren werden wir uns dieses System genauer ansehen.

Alternative ist natuerlich SELinux auszuschalten, jedoch sollte das nicht notwendig sein.