Snap von AusweisApp2 unter Fedora 30

Heute hatte mich Andreas angeschrieben, weil unter Fedora 30 die AusweisApp2 keinen Treiber für den Kartenleser finden konnte. Das ist immer ein Anzeichen dafür, dass irgendetwas mit dem PCSC-Daemon nicht stimmt.

Das Problem lässt sich zum Glück relativ einfach auf zwei Arten lösen. Die einfache Variante deaktiviert SELinux bzw. setzt es auf den reinen Logging-Modus, die zweite setzt die korrekten Policies für SELinux.

SELinux deaktivieren

Diese Variante wird nicht unbedingt empfohlen. Es ist aber die einfachere und schnellere Lösung. Man muss dazu nur die Datei „/etc/sysconfig/selinux“ öffnen und den Parameter „SELINUX“ auf „permissive“ setzen. Nach einem Neustart funktioniert der Card-Daemon wie gewollt.

Policy für SELinux anlegen

Für diese Methode ist es notwendig, dass das Snap von AusweisApp2 installiert ist. Die beiden folgenden Befehle müssen als „root“ ausgeführt werden:

ausearch -c 'snap' | audit2allow -M snap.ausweisapp2-ce
semodule -i snap.ausweisapp2-ce.pp

Danach muss man den Rechner neu starten.

6 Antworten auf „Snap von AusweisApp2 unter Fedora 30“

  1. Im Mode „permissive“ wird SELinux im Sinne von „lass es durchgehen“ quasi im Debugging-Mode betrieben. Die Regeln werden gelesen und bei Verstößen kommt der Eintrag in die Protokolldatei. „permissive“ und der Standard-Modus „enforcing“ unterscheiden sich darin, dass „permissive“ Fehler protokolliert, aber den Verstoß nicht verhindert. Bei „enforcing“ werden die Policy-Regel durchgesetzt, was ja der Sinn der Sache ist.

    Abgeschaltet ist SELinux nur im Modus „disabled“.

    Es gibt überhaupt keinen Grund derartiges auch nur in Erwägung zu ziehen. SELinux und AppArmor haben einen Zweck und funktionieren.

  2. Bei mir läuft Fedora 30. „pcscd.service is running“ und „pcsc_scan“ zeigt sinnhaftes:

    pcsc_scan
    Using reader plug’n play mechanism
    Scanning present readers…
    0: REINER SCT cyberJack RFID komfort (123456789) 00 00

    Fri Jun 28 11:54:52 2019
    Reader 0: REINER SCT cyberJack RFID komfort (123456789) 00 00
    Card state: Card inserted,
    ATR: 3B 8A 80 01 80 31

    Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
    3B 8A 80 01 80 …..
    German ID Card – Personalausweis


    Die steckt ja auch im Kartenleser drin. Soweit so richtig.

    lsusb hat den caberjack komfort erkannt.

    Dennoch wird im snap „Ausweis-App2-ce“ bei den Einstellungen zwar der Kartenleser korrekt wiedergegeben, der Status ist immer noch „No driver installed“.

    Ja, der Driver ist die rpm-package aus dem offiziellen Repo von fedora. REINERSCT hat keines für fedora, die für CentsOS 7 sind zwar kompatibel, aber halt nicht aus dem f30-repo.

    Ja, der Patch für SELinux ist, wie benannt erstellt und eingespielt. Nach dem Neustart ist das Regel-Modul auch noch vorhanden.

    Was sollte bei dem Patch erreicht werden resp. was hat snap mit pcscd zu schaffen? Bringt das snap-package einen eigenen pcscd-daemon mit?

    Vor vier Jahren hat das mal bei gleicher Hardware über ein SUSE-rpm funktioniert. Dann gab es eine Änderung bei pcsc und seitdem klappt es nicht mehr. Vor zwei Jahren hat sich REINERSCT schlicht geweigert auf Fragen zum Kartenleser und Linux überhaupt zu antworten; angeblich nach Absprache mit dem Auftraggeber (das sollte wohl das BMI gewesen sein).

    1. Das Snap-Paket bringt eine eigene Version von pcscd mit. Einfach aus dem Grund, weil es noch keine Möglichkeit gibt einzelnen Anwendungen Zugriffsrechte auf normale System-Daemons zu erlauben. Am Anfang musste das Paket auch mit der Option „–devmode“ installiert werden um die Apparmor-Sandbox zu umgehen. Das Paket bringt auch den passenden Reiner-SCT-Treiber mit.

  3. Sorry, anderes Thema:
    Alle Feeadreader meckern:

    „W3C Feed Validation Service
    Check the syntax of Atom or RSS feeds
    Sorry
    This feed does not validate.
    line 1, column 1: Blank line before XML declaration [help]
    ^
    In addition, interoperability with the widest range of feed readers could be improved by implementing the following recommendations.
    line 130, column 0: content:encoded should not contain sizes attribute (4 occurrences) [help]
    line 130, column 0: content:encoded should not contain referrer attribute (6 occurrences) [help]
    line 464, column 0: content:encoded should not contain aria-describedby attribute (3 occurrences) [help]
    <figure id="attachment_297" aria-describedby="caption-attachment-297" sty …
    Source: https://www.glasen-hardt.de/feed&quot;

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.