Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 26-01-2017 23:43:39

Chokotoff
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Openbox
Inscription : 26-01-2017

Utilité de AppArmor?

Bonsoir,

Sur ma debian qu'un ami m'a configurée, je n'ai pas AppArmor d'installé. Du coup... je me demandais si c'était grave docteur? Est-ce un gros risque à la sécurité de la debian? Comment cela fonctionne-t-il exactement? Qu'est-ce que cela fait précisément? Si je souhaite installer AppArmor, comment le configurer? Ça m'a l'air un peu complexe dans le paramétrage des fichiers de configuration.

Merci d'avance pour vos conseils et avis.

Hors ligne

#2 26-01-2017 23:56:00

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-1 4.14.2-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Utilité de AppArmor?

=> https://debian-handbook.info/browse/fr- … armor.html

tu a aussi Selinux dans le meme genre

=> https://debian-handbook.info/browse/fr- … linux.html

je pense que c'est pour des utilisateurs avisé , testé les deux mais je suis pas aller jusqu au bout de la démarche  hmm

Dernière modification par robert2a (26-01-2017 23:58:43)

Hors ligne

#3 27-01-2017 00:11:45

Chokotoff
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Openbox
Inscription : 26-01-2017

Re : Utilité de AppArmor?

On pourrait comparer AppArmor a une sorte de sandbox/firewall? Elle limiterait l'accès aux programmes? Je crois que des distributions comme Ubuntu, ElementaryOS ont AppArmor installé par défaut. Fedora Selinux par défaut. Debian a-t-il AppArmor de préinstallé? (ma config étant une config aux petits oignons, d'où AppArmor non installé). Est-ce qu'il existe des cas rapportés conseillant son utilisation?

Hors ligne

#4 27-01-2017 00:48:20

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-1 4.14.2-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Utilité de AppArmor?

debian contient les deux dans son noyau , après faut activer l un ou l autre , utiliser des paquets de règles existantes (ou les adapter ) et en créer d'autres si besoin
je te conseille de lire la documentation avant , après choisir l un ou l autre j'ai pas les compétences pour te conseiller .
a l'époque de mes tests j'ai eu un faible pour SeLinux  mais alors debian ne proposait aucun paquets de règles a l'époque. (ce qui n'est plus le cas )
nota: voir les cahiers de l admin debian , le sujet est traité .

Hors ligne

#5 27-01-2017 12:29:27

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Utilité de AppArmor?

robert2a a écrit :

debian contient les deux dans son noyau , après faut activer l un ou l autre


Il faut tout de même installer les paquets qui vont bien pour les exploiter, en plus des paquets de règles. smile
Selinux est très restrictif et le paquet des "policies" (selinux-policy-default) par défaut est absent de Jessie. Je ne recommanderai pas son installation.
Apparmor est plus souple d'usage et, pour l'avoir utiliser un temps sous Jessie, mieux intégré / intégrable à Debian.


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#6 27-01-2017 12:44:08

Chokotoff
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Openbox
Inscription : 26-01-2017

Re : Utilité de AppArmor?

Ok merci! Je vais lire un peu tout ça dans le cahier de l'admin debian.

sogal a écrit :

Apparmor est plus souple d'usage et, pour l'avoir utiliser un temps sous Jessie, mieux intégré / intégrable à Debian.


Effectivement, c'est ce qu'il me semble avoir lu quelque part sur un site.

Je reviendrai sûrement vers vous un peu plus tard quand j'aurai lu la documentation (que j'avais déjà survolée mais vite abandonnée car ça me semblait compliqué, faudrait que je persiste)

Hors ligne

#7 27-01-2017 14:29:52

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Utilité de AppArmor?

Chokotoff a écrit :

Je reviendrai sûrement vers vous un peu plus tard quand j'aurai lu la documentation (que j'avais déjà survolée mais vite abandonnée car ça me semblait compliqué, faudrait que je persiste)


Pour Selinux, il est essentiel de comprendre la notion de contexte et de rôle, après le reste tu peux le gérer avec les outils disponibles pour ça.
Et surtout d'avoir le réflexe : si ça ne marche pas, est-ce que ce n'est pas du fait de selinux ? wink


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#8 27-01-2017 15:04:04

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-1 4.14.2-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Utilité de AppArmor?

Bonjour
Selinux pour l avoir testé aussi sous jessie et stretch donne une erreur (log) mais autorise quand meme l action.
il faut interpréter les logs et modifier les règles en conséquence .
pour la documentation j'ai utilisé les cahiers de l admin wheezy ou la mise en place est bien expliqué .
j' avoue que c'est pas simple , un peu pour ça que je n ai pas trop insisté . roll  tongue

Hors ligne

#9 27-01-2017 15:18:42

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Utilité de AppArmor?

robert2a a écrit :

Selinux pour l avoir testé aussi sous jessie et stretch donne une erreur (log) mais autorise quand meme l action.


Tout dépend de ta configuration, c'est effectivement le cas en "permissive", mais évidemment pas en "enforcing".

robert2a a écrit :

il faut interpréter les logs et modifier les règles en conséquence .


Oui, fort heureusement il existe des outils qui facilitent et automatisent cela et permettent d'intégrer les modifs voulues à une politique de sécurité locale définie par l'admin de la machine.

robert2a a écrit :

j' avoue que c'est pas simple , un peu pour ça que je n ai pas trop insisté


Je te comprends ! La première fois que j'ai monté des services sur une CentOS (selinux actif par défaut donc), je découvrais et j'ai cru que j'allais m'arracher la tête, rien ne fonctionnait ! lol


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#10 27-01-2017 19:21:51

kawer
Adhérent(e)
Lieu : Quelque part vers Gallifrey
Distrib. : Debian 9 / ArchLinux / FreeBSD
Noyau : Current
(G)UI : gnome et xfce4
Inscription : 08-10-2013

Re : Utilité de AppArmor?

Apparmor ou SELinux permettent de sandboxer les applications. Sur un poste client sont utilisation est peu utile a moins d'être parano ou d'avoir une raison valable de l'utiliser, par exemple sandboxer une application propriétaire comme skype.

Après il est clair que je trouve ridicule de proposer SELinux à un débutant, sa configuration  n'est pas pour le premier venu. Je te conseillerais plutot apparmor qui est beaucoup plus simple d'utilisation et qui au final fait le même boulo.

Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

Pied de page des forums