Firejail werkt niet in Chromium

[HWE64]

Ik heb LMDE 6 Xfce als distributie en heb gisteren Chromium als standaard browser gemaakt. Op mijn desktop draait ook LM 22 Xfce met Firefox en daar werkt Firejail wel ook in Thunderbird.
Firejail werkt wel in TB met LMDE 6 Xfce. Dus alleen Chromium niet. Ik heb ook nog geprobeerd om firejail vanuit de terminal te starten maar dan krijg ik fout meldingen die ik bij FF niet krijg.

Chromium

Code: [Selecteer]

henk@Dell:~$ firejail chromium
Reading profile /etc/firejail/chromium.profile
Reading profile /etc/firejail/chromium-common.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-exec.inc
Reading profile /etc/firejail/disable-interpreters.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/disable-xdg.inc
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-run-common.inc
Reading profile /etc/firejail/whitelist-runuser-common.inc
Reading profile /etc/firejail/whitelist-usr-share-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Warning: networking feature is disabled in Firejail configuration file
Parent pid 7685, child pid 7686
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Child process initialized in 133.36 ms
[13:13:0921/192345.860442:ERROR:content_main_runner_impl.cc(433)] Unable to load CDM /home/henk/.config/chromium/WidevineCdm/4.10.2830.0/_platform_specific/linux_x64/libwidevinecdm.so (error: /home/henk/.config/chromium/WidevineCdm/4.10.2830.0/_platform_specific/linux_x64/libwidevinecdm.so: kan segment van gedeeld object niet in het geheugen plaatsen)
[1:1:0921/192345.860796:ERROR:content_main_runner_impl.cc(433)] Unable to load CDM /home/henk/.config/chromium/WidevineCdm/4.10.2830.0/_platform_specific/linux_x64/libwidevinecdm.so (error: /home/henk/.config/chromium/WidevineCdm/4.10.2830.0/_platform_specific/linux_x64/libwidevinecdm.so: kan segment van gedeeld object niet in het geheugen plaatsen)
Wordt geopend in een bestaande browsersessie.

Parent is shutting down, bye...
henk@Dell:~$

Firefox

Code: [Selecteer]

henk@Dell:~$ firejail firefox
Reading profile /etc/firejail/firefox.profile
Reading profile /etc/firejail/whitelist-usr-share-common.inc
Reading profile /etc/firejail/firefox-common.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-exec.inc
Reading profile /etc/firejail/disable-interpreters.inc
Reading profile /etc/firejail/disable-proc.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-run-common.inc
Reading profile /etc/firejail/whitelist-runuser-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Warning: networking feature is disabled in Firejail configuration file
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Parent pid 8143, child pid 8146
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Warning: cleaning all supplementary groups
Warning: Replacing profile instead of stacking it. It is a legacy behavior that can result in relaxation of the protection. It is here as a temporary measure to unbreak the software that has been broken by switching to the stacking behavior.
Child process initialized in 138.27 ms

Parent is shutting down, bye...
henk@Dell:~$

Wie weet wat er fout is?

[peer]

Dit lees ik in de foutmelding:

Code: [Selecteer]

[13:13:0921/192345.860442:ERROR:content_main_runner_impl.cc(433)] Unable to load CDM /home/henk/.config/chromium/WidevineCdm/4.10.2830.0/_platform_specific/linux_x64/libwidevinecdm.so (error: /home/henk/.config/chromium/WidevineCdm/4.10.2830.0/_platform_specific/linux_x64/libwidevinecdm.so: kan segment van gedeeld object niet in het geheugen plaatsen)
[1:1:0921/192345.860796:ERROR:content_main_runner_impl.cc(433)] Unable to load CDM /home/henk/.config/chromium/WidevineCdm/4.10.2830.0/_platform_specific/linux_x64/libwidevinecdm.so (error: /home/henk/.config/chromium/WidevineCdm/4.10.2830.0/_platform_specific/linux_x64/libwidevinecdm.so: kan segment van gedeeld object niet in het geheugen plaatsen)
De fout lijkt dus in widevinecdm te zitten. Ik zou widevinecdm verwijderen en kijken of chromium het dan wel doet. Daarna evt. widevinecdm opnieuw installeren.

[HWE64]

@peer, zou dit misschien een bug kunnen zijn met een update van Chromium? Ik heb ditzelfde ook op andere pc' s en ook in LM 22 xfce.

[peer]

zou best kunnen dat een update van chromium de oorzaak is. Chromium kan niet omgaan met widewinecdm. Dus er is iets mis met widewinecdm of met chromium. Als chromium net geupdate is dan zou dat goed de oorzaak kunnen zijn.
Ik gebruik widewinecdm niet en ook chromium gebruik ik nauwelijks dus kan ik hier niet bij helpen.

Wel kan ik melden dat chromium op mijn pc (debian 12 kde) gewoon werkt met firejail.

[HWE64]

@peer, Chromium draait welmet firejail maar wordt er niet door beschermt. Als ik Chromium in firejail open kan ik gewoon bij mijn documenten komen rn dat hoort niet. Wat ik zou alleen in mijn downloads moeten kunnen komen.

Hoe kan ik op een nette manier widewinecdm verwijderen en hoe kan ik daarna indien nodig weer installeren?

[emvedeesje]

@peer, Chromium draait welmet firejail maar wordt er niet door beschermt. Als ik Chromium in firejail open kan ik gewoon bij mijn documenten komen rn dat hoort niet. Wat ik zou alleen in mijn downloads moeten kunnen komen.

Hoe kan ik op een nette manier widewinecdm verwijderen en hoe kan ik daarna indien nodig weer installeren?

Er is meer nodig om alle andere data te beschermen, uitgezonderd de map Downloads.
Ik gebruik onderstaande om ook alle andere gemounte disks te beschermen:

Code: [Selecteer]

firejail "--blacklist=/media/" chromium %U

[bart85]

Data beschermen gaat met apparmor. Apparmor heeft voor programma's een specifiek profiel. Dat profiel bepaalt waar het programma toegang tot heeft.