ubuntuusers.de

Hallo zusammen,

Ich bin gerade dabei, einige Apps als Snap hier in der Firma zu verwenden. Es gibt Discord, Multipass, Pycharm... das Problem, auf das ich gestoßen bin, ist, dass all diese Apps keinen Internetzugang bekommen können. Zuerst dachte ich, mein System sei kaputt, weil es zu Hause funktionierte. Aber dann wurde mir klar, dass es in der Firma nicht funktioniert, weil wir SSL-Deepinspection durch Firewalls verwenden.

Jetzt sehen die Snaps keine CA-Zertifikate, die importiert wurden. Gibt es einen separaten Zertifikatspeicher für Snaps?

Wir speichern die Zertifikate standardmäßig unter /usr/local/share/ca-certificates. Ein "update-ca-certificates" aktiviert sie dann automatisch in /etc/ssl/certs/.

Also komplett standardmäßig.

Das was ich im Internet heraus gefunden habe ist das Snaps grundsätzlich schon auf den Certstore drauf zugreifen sollten. Manche User hatten auch das selbe Problem wie ich aber aus nem anderen Grund. Dort half dann einfach mal ein "update-ca-certificates". Aber das hab ich hier so in dieser Art nicht. Auch auf der Snap Manpage wird man da nicht fündig. Dann hab ich noch die Snap Connections geprüft, aber da findet auch nichts über Zertifikate oder einer CA.

Vielen Dank glg Dark Wolf

Ich möchte meinen Beitrag hier noch kommentieren:

Nachdem ich nun sehr viel Zeit hatte und Snaps produktiv im Einsatz hatte, bin ich zwei geteilt. Zum einen finde ich es toll, weil einfach. Zum anderen bläst sich ein System da auf, so schnell kann man gar nicht schauen. Und wenn das Snap nicht vorsieht auf den zentralen CA-Space zugreifen zu können, dann funktioniert es einfach nicht.

Fazit: Ich bau mir die DEB Pakete wenn's sein muss weiter selber. Ist einfach besser.

Dafür hast Du nun fast 1 3/4 Jahre gebraucht. Dein Fazit sollte sein, eine andere Linux-Distribution zu nutzen.

von.wert schrieb:

Dafür hast Du nun fast 1 3/4 Jahre gebraucht. Dein Fazit sollte sein, eine andere Linux-Distribution zu nutzen.

Eigentlich nicht, ich hab mir einfach mal Zeit genommen alte Beiträge die in Vergessenheit geraten sind abzuschließen.

Hallo,

hast du die Frage mal auf https://forum.snapcraft.io/ gestellt? Da sind mehr Leute unterwegs, die sich mit snaps auskennen. Bei uu.de ist es ja viel eher so, dass viele sich damit gar nicht auskennen wollen.

Gruß, noisefloor

Nein habe ich noch nicht. Ist ne gute Idee. Auf Ubuntu.com hab ich es schon mal deponiert. Da hies es dann nur kauf dir ne Enterprise Subscription, dann sehen wir uns das zumindest mal an.

Ich frag mal dort im Forum. Vielleicht kann man da ja was drum herum bauen. Danke.

Hallo Dark_Wolf,

Hast du es mal mit Flatpack versucht .....

Gruss Lidux

noisefloor schrieb:

Bei uu.de ist es ja viel eher so, dass viele sich damit gar nicht auskennen wollen.

Und dann gibt es noch welche, die sich das angucken und die Hände über dem Kopf zusammenschlagen, auf Grund der Art und Weise, wie die erstellt/verwaltet werden. 😈

Und dann gibt es noch welche, die sich das angucken und die Hände über dem Kopf zusammenschlagen, auf Grund der Art und Weise, wie die erstellt/verwaltet werden.

Kann ja sein - die Qualität von einzelnen snaps hat nur nicht wirklich was mit Ausgangsproblem des TE zu tun. Die Frage ist ja, wie man aus der Laufzeitumgebung von snaps heraus an bestimmte CA Zertifikate kommt bzw. überhaupt dran kommt.

Gruß, noisefloor

noisefloor schrieb:

Kann ja sein - die Qualität von einzelnen snaps hat nur nicht wirklich was mit Ausgangsproblem des TE zu tun.

Genausowenig wie deine generalisierende, von mir zitierte Behauptung. 😈

Dark_Wolf schrieb:

Und wenn das Snap nicht vorsieht auf den zentralen CA-Space zugreifen zu können, dann funktioniert es einfach nicht.

Gibt man einem Snap dies nicht mit

1

sudo snap set Snapname tls-cert-path=/Pfad/zum/CA-Verzeichnis

auf den Weg?

Mylin schrieb:

Dark_Wolf schrieb:

Und wenn das Snap nicht vorsieht auf den zentralen CA-Space zugreifen zu können, dann funktioniert es einfach nicht.

Gibt man einem Snap dies nicht mit

1	sudo snap set Snapname tls-cert-path=/Pfad/zum/CA-Verzeichnis

auf den Weg?

Das war ein verdammt guter Tip, aber wohl nicht einfach um zu setzten. Ich hab das mal mit Discord durchgespielt. Beim Ausführen gibt es im Log ein Denied:

2024-09-08T21:52:07.670665+02:00 supertux kernel: kauditd_printk_skb: 18 callbacks suppressed
2024-09-08T21:52:07.670673+02:00 supertux kernel: audit: type=1400 audit(1725825127.668:1091): apparmor="DENIED" operation="capable" class="cap" profile="/usr/lib/snapd/snap-confine" pid=542142 comm="snap-confine" capability=12  capname="net_admin"

Apparmor Profile für das Snap zu deaktivieren lässt sich kein snap mehr starten. Auch wenn ich das Profile in den Lernmodus setze,

aa-complain /usr/lib/snapd/snap-confine

darf es nicht starten. Was ich ja auch verstehe da es sicherheitskritisch sein könnte.

Möglich, dass noch

1

sudo snap set system tls-cert-path=/Pfad/zum/CA-Verzeichnis

erforderlich ist.

Hier mal der weiterführende Beitrag: https://forum.snapcraft.io/t/add-custom-ca-to-snap-or-trusted-store/42017

Lidux schrieb:

Hallo Dark_Wolf,

Hast du es mal mit Flatpack versucht .....

Gruss Lidux

Hab ich jetzt mal intensiv getestet. Auch das mit der eigenen CA geht im Default. Sehr gut. Das was mich noch stört (hab mich jetzt aber auch noch nicht drum gekümmert) ist das keine Programmstarter im Menü angelegt werden. Die muss man sich selbst unter /var/lib/flatpak raus kopieren. Auch das Plugin für Discover hat wohl noch einige Bugs. Weil je nachdem bei der Suche Pakete angezeigt werden, oder auch nicht.

Beispiel: Ohne Flathubplugin sucht man nach Discord, und es wird mir als Snap angezeigt, oder nach Telegram und es wird mir als DEB und Snap angezeigt. Suche mit aktiviertem Flathubplugin, wird nur mehr das Flatpaket angezeigt. Auf der CMD funktioniert es einwandfrei.