Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 24-06-2015 15:21:24

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Comment utiliser AppArmor sur Debian ?

Bonjour tout le Monde smile

J'aimerais bien sécuriser ma Debian, j'aimerais donc utiliser AppArmor sur Debian. Mais je ne le connais pas beaucoup alors j'ai plusieurs questions :
Comment mettre Iceweasel en mode enforce ?
(parce que avec cette commande ça ne marche pas : sudo aa-enforce iceweasel) J'ai ce message d'erreur : Profile for /usr/lib/iceweasel/iceweasel not found, skipping
Une idée ?

Sinon quand je marque ça : sudo apparmor_status
J'ai aussi un message d'erreur :
apparmor module is loaded.
apparmor filesystem is not mounted.

En gros je ne sais pas l'utiliser et j'aimerais bien qu'on m'éclaire là dessus, merci pour celui ou ceux qui se lancent !

Dernière modification par Tyrpio (22-12-2015 12:54:11)


Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#2 24-06-2015 15:32:46

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Comment utiliser AppArmor sur Debian ?

Salut,
Question intéressante, voici déjà un début de réponse :
How To Use AppArmor -Debian Wiki
Je pense que dans ton cas certains paquets de profils ou autre sont à installer au préalable.

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#3 24-06-2015 22:19:38

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Re : Comment utiliser AppArmor sur Debian ?

Merci sogal pour la réponse, mais comment installer les paquet de profil...
Enfin j'ai besoin d'un plus gros coup de pouce parce que là je ne m'en sort pas du tout hmm

Dernière modification par Tyrpio (24-06-2015 22:20:25)


Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#4 25-06-2015 09:37:57

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Comment utiliser AppArmor sur Debian ?

Tyrpio a écrit :

Merci sogal pour la réponse, mais comment installer les paquet de profil...


apt-get install apparmor-profiles apparmor-profiles-extra

smile
Je ne l'utilise pas donc je ne pourrais t'en dire plus là de suite mais déjà si tu suis les indications du wiki Debian et que tu installes les profils, ça devrait te faire un bon début.


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#5 25-06-2015 16:06:02

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Re : Comment utiliser AppArmor sur Debian ?

Ça va déjà mieux mais je ne sais pas si j'ai vraiment mis Iceweasel en mode enforce.
Voilà ce que j'ai fait :

sudo aa-status | grep iceweasel



puis j'ai tapé :

sudo aa-enforce /etc/apparmor.d/usr.bin.iceweasel



J'ai eu ce message : "/etc/apparmor.d/usr.bin.iceweasel does not exist, please double-check the path."
et pour finir :

sudo aa-status | grep iceweasel



Est-ce que j'ai mit Iceweasel en mode enforce ?
Si ce n'est pas le cas je fais quoi ?

Dernière modification par Tyrpio (25-06-2015 16:08:46)


Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#6 26-06-2015 02:21:25

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Comment utiliser AppArmor sur Debian ?

j'ai tenté une install  https://debian-facile.org/viewtopic.php?id=10538

si ça peu t aider smile

en autre j ai abandonné parce que iceweasel ne pouvait joindre aucun site wink

il faut ajuster les regles en fonction de tes besoins (et comme j ai une installation un peu speciale , passerelle dns dhcp etc a priori j avais beaucoup de boulot )

Hors ligne

#7 27-06-2015 03:28:59

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Re : Comment utiliser AppArmor sur Debian ?

robert2a a écrit :

si ça peu t aider smile


Oui ça peut m'aider mais il me faut toujours plus de précision, c'est déjà un bon début smile


Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#8 28-06-2015 08:33:16

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Comment utiliser AppArmor sur Debian ?

moi je me pose la question , selinux ou apparmor en sachant que selinux est intégré au noyau déja.

pour selinux a l epoque il me manquai le policy , qu il fallait recuperer sur le site de selinux.

j en suis resté la , il faudrait que je reprenne cet affaire avec stretch hmm

apres c est un travail sur les scripts , pour selinux c est bien detaillé sur les cahiers de l admin wheezy en fr (page 425)  tongue (apparmor je pense que toute la doc est en anglais.

Hors ligne

#9 28-06-2015 14:46:41

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Re : Comment utiliser AppArmor sur Debian ?

Merci encore robert2a, si il y a ici des habitués de apparmor venez ahahah, j'ai vraiment envie d'utiliser cette formidable outil !

Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#10 28-06-2015 15:21:01

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Comment utiliser AppArmor sur Debian ?

bonnes chances  =>  https://wiki.debian.org/AppArmor

tu a les principaux liens , de l installation debian et meme le site d' apparmor  , quand il est actif aprés c est un travail personnel pour affiner les regles (ou en créer ) .

Hors ligne

#11 28-06-2015 23:40:19

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Re : Comment utiliser AppArmor sur Debian ?

Ok je met en résolu mais ça à l'air chaud, je me concentre déjà sur la programmation, ensuite le terminal et enfin on verra pour Apparmor. Thanks smile

Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#12 29-06-2015 02:25:44

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Comment utiliser AppArmor sur Debian ?

j'ai installé selinux sur une machine de bureau , pas trop le temps de bosser dessus pour l instant , mais j essaierai de le configurer , a priori les dépendances sont satisfaites sur stretch. (a ce propos l aspect de l invite du logging et le bureau a change il me semble smile  )

dire au noyau que selinux est actif et lancer la procédure .
quand je me lance j irai compléter mon post selinux

Hors ligne

#13 29-06-2015 12:35:31

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Re : Comment utiliser AppArmor sur Debian ?

robert2a a écrit :

quand je me lance j irai compléter mon post selinux


C'est cool cool cool cool


Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#14 09-12-2015 17:21:40

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Comment utiliser AppArmor sur Debian ?

par défault il n'y a pas de profil pour iceweasel, il faut en récupérer un sur git ou faire son propre profil puis le mettre dans /etc/apparmor.d et après lancer aa-enforce iceweasel.

J'ai récupéré le profil ici et fait juste une modification pour que iceweasel puisse écrire dans le dossier Téléchargements au lieu de Downloads, ce qui donne :


# vim:syntax=apparmor
# Author: Jamie Strandboge <jamie@canonical.com>

# Declare an apparmor variable to help with overrides
@{MOZ_LIBDIR}=/@MOZ_LIBDIR@

#include <tunables/global>

# We want to confine the binaries that match:
#  /@MOZ_LIBDIR@/@MOZ_APP_NAME@
#  /@MOZ_LIBDIR@/iceweasel
# but not:
#  /@MOZ_LIBDIR@/iceweasel.sh
/usr/lib/iceweasel/iceweasel {
  #include <abstractions/audio>
  #include <abstractions/cups-client>
  #include <abstractions/dbus-session>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>
  #include <abstractions/p11-kit>

  # Addons
  /usr/share/xul-ext/** r,
  # for networking
  network inet stream,
  network inet6 stream,
  @{PROC}/[0-9]*/net/if_inet6 r,
  @{PROC}/[0-9]*/net/ipv6_route r,
  @{PROC}/[0-9]*/net/dev r,
  @{PROC}/[0-9]*/net/wireless r,

  # should maybe be in abstractions
  /usr/lib/iceweasel/iceweasel ixr,
  /etc/ r,
  /etc/mime.types r,
  /etc/mailcap r,
  /etc/xdg/*buntu/applications/defaults.list    r, # for all derivatives
  /usr/share/xubuntu/applications/defaults.list r,
  owner @{HOME}/.local/share/applications/defaults.list r,
  owner @{HOME}/.local/share/applications/mimeapps.list r,
  owner @{HOME}/.local/share/applications/mimeinfo.cache r,
  owner @{HOME}/.gstreamer*/{,**} rw,
  owner /tmp/** m,
  owner /var/tmp/** m,
  /tmp/.X[0-9]*-lock r,

  /etc/timezone r,
  /etc/wildmidi/wildmidi.cfg r,

  # iceweasel specific
  /etc/iceweasel*/ r,
  /etc/iceweasel*/** r,
  /etc/xul-ext/** r,
  /etc/xulrunner-2.0*/ r,
  /etc/xulrunner-2.0*/** r,
  /etc/gre.d/ r,
  /etc/gre.d/* r,

  # noisy
  deny @{MOZ_LIBDIR}/** w,
  deny /@MOZ_ADDONDIR@/** w,
  deny /usr/lib/xulrunner-addons/** w,
  deny /usr/lib/xulrunner-*/components/*.tmp w,
  deny /.suspended r,
  deny /boot/initrd.img* r,
  deny /boot/vmlinuz* r,
  deny /var/cache/fontconfig/ w,
  deny @{HOME}/.local/share/recently-used.xbel r,

  # TODO: investigate
  deny /usr/bin/gconftool-2 x,

  # These are needed when a new user starts iceweasel and iceweasel.sh is used
  @{MOZ_LIBDIR}/** ixr,
  /usr/bin/basename ixr,
  /usr/bin/dirname ixr,
  /usr/bin/pwd ixr,
  /sbin/killall5 ixr,
  /bin/which ixr,
  /usr/bin/tr ixr,
  @{PROC}/ r,
  @{PROC}/[0-9]*/cmdline r,
  @{PROC}/[0-9]*/mountinfo r,
  @{PROC}/[0-9]*/stat r,
  owner @{PROC}/[0-9]*/task/[0-9]*/stat r,
  @{PROC}/[0-9]*/status r,
  @{PROC}/filesystems r,
  owner @{HOME}/.thumbnails/*/*.png r,

  /etc/mtab r,
  /etc/fstab r,

  # Needed for the crash reporter
  owner @{PROC}/[0-9]*/environ r,
  owner @{PROC}/[0-9]*/auxv r,
  /etc/lsb-release r,
  /usr/bin/expr ix,
  /sys/devices/system/cpu/ r,
  /sys/devices/system/cpu/** r,

  # about:memory
  owner @{PROC}/[0-9]*/statm r,
  owner @{PROC}/[0-9]*/smaps r,

  # Needed for container to work in xul builds
  /usr/lib/xulrunner{,-*}/** ixr,

  # allow access to documentation and other files the user may want to look
  # at in /usr and /opt
  /usr/lib/{,**} rm,
  /usr/share/iceweasel/{,**} r,
  /usr/share/mozilla/{,**} r,
  /usr/{local/,}share/glib-2.0/{,**} r,
  /usr/share/xulrunner{,-*}/{,**} r,
  /usr/share/mime/{,**} r,
  /usr/share/gstreamer*/{,**} r,
  /usr/share/hunspell/{,**} r,

  # so browsing directories works

  # Default profile allows downloads to ~/Downloads and uploads from ~/Public
  owner @{HOME}/Téléchargements/ r,
  owner @{HOME}/Téléchargements/** rwk,

  # per-user iceweasel configuration
  owner @{HOME}/.cache/{iceweasel,mozilla}/{,**} rw,
  owner @{HOME}/.cache/dconf/user rw,
  owner @{HOME}/.cache/dconf/ rw,
  owner @{HOME}/.config/dconf/user r,
  owner @{HOME}/.{iceweasel,mozilla}/ rw,
  owner @{HOME}/.{iceweasel,mozilla}/** rw,
  owner @{HOME}/.{iceweasel,mozilla}/**/*.{db,parentlock,sqlite}* k,
  owner @{HOME}/.{iceweasel,mozilla}/plugins/** rm,
  owner @{HOME}/.{iceweasel,mozilla}/**/plugins/** rm,
  owner @{HOME}/.config/ibus/bus/ w,
  owner @{HOME}/.gnome2/iceweasel*-bin-* rw,

  #
  # Extensions
  # /usr/share/.../extensions/... is already covered by '/usr/** r', above.
  # Allow 'x' for downloaded extensions, but inherit policy for safety
  owner @{HOME}/.mozilla/**/extensions/** mixr,

  deny @{MOZ_LIBDIR}/update.test w,
  deny /usr/lib/mozilla/extensions/**/ w,
  deny /usr/lib/xulrunner-addons/extensions/**/ w,
  deny /usr/share/mozilla/extensions/**/ w,
  deny /usr/share/mozilla/ w,

  # Miscellaneous (to be abstracted)
  # Ideally these would use a child profile. They are all ELF executables
  # so running with 'Ux', while not ideal, is ok because we will at least
  # benefit from glibc's secure execute.
  /usr/bin/mkfifo Uxr,  # investigate
  /bin/ps Uxr,
  /bin/uname Uxr,

  # Site-specific additions and overrides. See local/README for details.
}
 



kawer, aka Rédempteur de topik big_smile

Dernière modification par kawer (09-12-2015 17:25:00)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#15 22-12-2015 11:45:44

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Re : Comment utiliser AppArmor sur Debian ?

Merci kawer mais je ne sais pas trop, ça marche pas avec moi.

Ce que j'ai fais :
- la commande gedit sur un terminal administrateur pour lancer bah gedit.
-J'ai copier le profil pour le mettre sur gedit.
-J'ai enregistré dans /etc/apparmor.d sous le nom de usr.bin.iceweasel
-J'ai lancé la commande (dans un terminal root) "aa-enforce iceweasel"

J'ai ce message d'erreur : "Profile for /usr/lib/iceweasel/iceweasel not found, skipping"

Une idée ?

Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#16 22-12-2015 17:14:30

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Comment utiliser AppArmor sur Debian ?

Essaye comme ça :

mv /etc/apparmor.d/usr.bin.iceweasel /etc/apparmor.d/usr.lib.iceweasel.iceweasel
 



Edit : Suivi d'un :

aa-enforce iceweasel
 

Dernière modification par kawer (22-12-2015 17:15:23)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#17 22-12-2015 19:33:46

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Re : Comment utiliser AppArmor sur Debian ?

Ouais ça marche smolski smile

Voici le résultat des commandes :

mv /etc/apparmor.d/usr.bin.iceweasel /etc/apparmor.d/usr.lib.iceweasel.iceweasel



aa-enforce iceweasel


mv: impossible d'évaluer « /etc/apparmor.d/usr.bin.iceweasel »: Aucun fichier ou dossier de ce type
root@pc:/home/yop# aa-enforce iceweasel
Setting /usr/lib/iceweasel/iceweasel to enforce mode.
Traceback (most recent call last):
  File "/usr/sbin/aa-enforce", line 30, in <module>
    tool.cmd_enforce()
  File "/usr/lib/python3/dist-packages/apparmor/tools.py", line 166, in cmd_enforce
    raise apparmor.AppArmorException(cmd_info[1])
apparmor.common.AppArmorException: 'Warning: unable to find a suitable fs in /proc/mounts, is it mounted?\nUse --subdomainfs to override.\n'



Encore une idée ? smile

Dernière modification par Tyrpio (22-12-2015 19:53:50)


Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#18 22-12-2015 19:39:40

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Comment utiliser AppArmor sur Debian ?

Salut Tyrpio, plutôt qu'une image, tu peux recopier le contenu du terminal en le copiant collant avec la souris ici et en l'encadrant avec les balises du forum.
Commande user pour toutes les commandes user et dessous le bloc automatique où coller le retour de cette commande par exemple.

Edit :
Ah oui le tuto des couleurs :
Voir le tuto : Le code, ça pique moins les yeux en couleur cool

smile

Dernière modification par smolski (22-12-2015 19:40:54)


"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#19 22-12-2015 21:01:48

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Comment utiliser AppArmor sur Debian ?

Que donne le retour de la commande :

aa-status



Lors de mes premières tentatives je n'avais pas respecter scrupuleusement le wiki debian et apparmor tout en étant lancé était désactiver donc sans profil actif.

Dernière modification par kawer (22-12-2015 21:02:47)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#20 22-12-2015 21:10:00

Tyrpio
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 04-05-2015

Re : Comment utiliser AppArmor sur Debian ?

Voilà ce que ça donne :

aa-status


apparmor module is loaded.
apparmor filesystem is not mounted.


Quand vous ne voyez pas le service, c’est que vous êtes le produit !

Hors ligne

#21 22-12-2015 22:13:28

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Comment utiliser AppArmor sur Debian ?

Tu ajoute apparmor au lancement de grub, pour ce fairet tu ajoute "apparmor=1 security=apparmor" à GRUB_CMDLINE_LINUX_DEFAULT

nano /etc/default/grub


GRUB_CMDLINE_LINUX_DEFAULT "apparmor=1 security=apparmor"


Ensuite tu configure grub :

update-grub


Tu reboot ton système et tu essai de nouveau.

Dernière modification par kawer (22-12-2015 23:00:28)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

Pied de page des forums