Чтобы запустить определенные программы Windows в WINE, вам нужно обойти это:
echo 0|sudo tee /proc/sys/kernel/yama/ptrace_scope
Согласно веб-сайтам поддержки, это связано с ошибкой в ядре Ubuntu, которая мешает совместному воспроизведению ptrace и WINE.
Используя приведенную выше команду, вы устанавливаете ptrace в 0, что в соответствии с проведенным мною исследованием (не спрашивайте меня, какие веб-сайты у меня кажутся многими), ptrace связано с взаимодействиями между программами. Настройка 0 является более допустимой, чем 1.
Я должен предположить, что была веская причина, по которой Ubuntu захотел ptrace = 1, так что это возвращает меня к краткой форме вопроса.
Есть ли риски, связанные с установкой ptrace = 0. Более низкая безопасность? проблемы отладки? какие-нибудь другие, о которых я не думал ???
PS для всех, кто читает это и интересуется, в чем причина ошибки, программы Windows вообще не смогут открыться, в системном мониторе вы увидите множество примеров попыток открытия программы, а затем все они в конечном итоге закроются, и если вы запустите программу для терминала вы получите ошибку, сообщающую, что максимальное количество экземпляров программы было достигнуто.
Ответы:
Короткий ответ: практической опасности пока нет, но читайте дальше, чтобы лучше ...
Что это ptrace вещь в любом случае?
Нет, защита ptrace - это преднамеренная мера безопасности ядра, впервые введенная в Ubuntu 10.10. Это не ошибка , и поэтому не будет исправлена.
Проще говоря,
ptrace_scope
значение по умолчанию1
блокирует один процесс от изучения и изменения другого процесса, если только второй процесс (дочерний) не был запущен первым процессом (родительским).Это может вызвать проблемы с некоторыми программами под Wine из-за способа
wineserver
предоставления «Служб Windows» этим программам.Каковы риски при постановке
ptrace_scope
на0
?Это восстанавливает старое поведение, когда один процесс может «отследить» другой процесс, даже если нет родительских и дочерних отношений.
Теоретически, вредоносная программа может использовать это для нанесения вреда вам / вашему компьютеру; например, он может подключаться к Firefox и регистрировать все ваши URL / пароли и т. д. На практике это крайне маловероятно, если вы не устанавливаете двоичные файлы слепо со случайных сайтов и т. д.
Что касается отладки идет, то
0
настройки, на самом деле требуется дляgdb
,strace
и т.д. , чтобы прикрепить к не-детям , если не запускать их с повышенными привилегиями (SUDO).Какие проблемы с обходным решением?
ptrace_scope
это глобальное значение, и, хотя оно установлено0
, все процессы в вашей системе освобождаются от ограничений, не связанных с дочерними процессами.ptrace_scope
общедоступными (666), как рекомендует сообщение на форуме - это огромный риск для безопасности, потому что теперь любой процесс может изменить его по своему желанию!Есть ли лучшее решение?
Лучшее решение, которое является более безопасным и не требует повторного изменения ptrace_scope, - это предоставление возможностей Wineserver ptrace .
В терминале:
Это освобождает двоичные файлы wineserver и wine- preloader от ограничения ptrace, не связанного с дочерним процессом, и позволяет им отслеживать любой процесс.
Если вы используете кроссовер
Установите libcap2:
Затем добавьте исключение для кроссовера:
Наконец, добавьте его библиотеки в ld.so.conf (или вы получите «ошибку при загрузке общих библиотек: libwine.so.1: не удается открыть файл общего объекта: нет такого файла или каталога»):
источник
В ubuntuforums.org я получил ответ по следующей ссылке
https://wiki.ubuntu.com/SecurityTeam/Roadmap/KernelHardening#ptrace_Protection
вот паста по ссылке (с моим акцентом добавлена)
Таким образом, я думаю, что короткий ответ будет таким: он менее защищен, но вероятный капот персонального компьютера, подверженного таким атакам, будет довольно узким.
источник
ОБНОВЛЕНИЕ Приведенные выше инструкции:
не работает с 15.09.2008 в Ubuntu 18.04.1 и PlayOnLinux v.4.2.12 с использованием последней стабильной версии Wine, которая является v.3.0.1 libcap2 уже установлена.
Сообщение об ошибке в Gnome Terminal выглядит следующим образом:
Не уверен, что это значит ..... но подумал, что я бы выложил это, чтобы кто-нибудь мог его интерпретировать и, возможно, найти новое, работающее решение.
Спасибо.
источник