Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 08-08-2018 12:01:59

Beta-Pictoris
Membre
Distrib. : Debian Stretch
Inscription : 12-08-2015

Re : Comment utiliser AppArmor sur Debian ?

C'est marrant que les commandes man* soient confinées.

Hors ligne

#27 08-08-2018 12:38:39

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : Comment utiliser AppArmor sur Debian ?

J'utilise aussi apparmor. En fait tout ce qui peut être confiné est confiné pour plus de sécu. Ce qui n'est pas confiné et qui peut être critique, ce sont les programmes, services, etc qui ne peuvent pas fonctionner en confinés sans configuration spéciale.

Hors ligne

#28 08-08-2018 12:54:53

Beta-Pictoris
Membre
Distrib. : Debian Stretch
Inscription : 12-08-2015

Re : Comment utiliser AppArmor sur Debian ?

J'aurais dis que ce qui doit être, avant tout, confiné, ce sont les services réseaux et les applications qui utilisent des protocoles réseaux.

Hors ligne

#29 09-08-2018 17:05:05

Beta-Pictoris
Membre
Distrib. : Debian Stretch
Inscription : 12-08-2015

Re : Comment utiliser AppArmor sur Debian ?

robert2a a écrit :

voila le résultat


/usr/bin/evince-thumbnailer//sanitized_helper (enforce)
/usr/bin/evince-previewer//sanitized_helper (enforce)
/usr/bin/evince//sanitized_helper (enforce)
 



Quand on passe, le fichier de profil "usr.bin.evince" en mode "complain" via la commande "aa-complain", le sous-profil "sanitized_helper" reste en mode "enforce".

Ça ne t'embête pas ?

Dernière modification par Beta-Pictoris (09-08-2018 17:06:29)

Hors ligne

#30 13-08-2018 15:21:25

Beta-Pictoris
Membre
Distrib. : Debian Stretch
Inscription : 12-08-2015

Re : Comment utiliser AppArmor sur Debian ?

Après avoir utilisé apparmor, je constate qu'il est encore très bogué.

Par exemple, l'accès aux ressources système (fichiers, sockets,...) peut rester bloqué, même quand tous les profils apparmor sont en mode "complain" ou, complètement déchargés de la mémoire. C'est très étrange.

De plus, il est très difficile de corriger les profils apparmor. Les commandes apparmor de correction automatique des profils se suffisent pas toujours. Et en correction manuel, ça ne donne souvent rien de concret.

J'ignore si la version d'apparmor pour ubuntu est aussi boguée, mais s'il est activé par défaut à l'avenir sur debian, ça va être une horreur.

Dernière modification par Beta-Pictoris (13-08-2018 16:47:51)

Hors ligne

#31 13-08-2018 16:32:15

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Comment utiliser AppArmor sur Debian ?

Bonjour

tu a tout compris wink

nota: j'ai testé selinux et apparmor sous jessie ( encore en testing ) , donc plus trop au courant.
a priori avec le noyau apparmor est imposé par défaut sur debian.

ps: aucun paquet de profils installé , il est actif
je suis pas aller plus loin ..............

je sais pas si on peu le désactiver proprement sans modifier le noyau debian roll

comme le noyau 4.18 est sorti voici le retour (sur une testing)


Linux raven2200g 4.18.0-amd64 #1 SMP Mon Aug 13 15:54:05 CEST 2018 x86_64 GNU/Linux
 




aa-status
apparmor module is loaded.
47 profiles are loaded.
29 profiles are in enforce mode.
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince-thumbnailer//sanitized_helper
   /usr/bin/evince//sanitized_helper
   /usr/bin/man
   /usr/bin/pidgin
   /usr/bin/pidgin//launchpad_integration
   /usr/bin/pidgin//sanitized_helper
   /usr/bin/totem
   /usr/bin/totem-audio-preview
   /usr/bin/totem-video-thumbnailer
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/telepathy/mission-control-5
   /usr/lib/telepathy/telepathy-*
   /usr/lib/telepathy/telepathy-*//pxgsettings
   /usr/lib/telepathy/telepathy-*//sanitized_helper
   /usr/lib/telepathy/telepathy-ofono
   /usr/sbin/apt-cacher-ng
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   gst_plugin_scanner
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   man_filter
   man_groff
18 profiles are in complain mode.
   /usr/bin/irssi
   /usr/sbin/avahi-daemon
   /usr/sbin/dnsmasq
   /usr/sbin/dnsmasq//libvirt_leaseshelper
   /usr/sbin/identd
   /usr/sbin/mdnsd
   /usr/sbin/nmbd
   /usr/sbin/nscd
   /usr/sbin/smbd
   /usr/sbin/smbldap-useradd
   /usr/sbin/smbldap-useradd///etc/init.d/nscd
   /usr/{sbin/traceroute,bin/traceroute.db}
   klogd
   libreoffice-oopslash
   libreoffice-soffice
   ping
   syslog-ng
   syslogd
4 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/cups-browsed (523)
   /usr/sbin/cupsd (480)
2 processes are in complain mode.
   /usr/sbin/avahi-daemon (485)
   /usr/sbin/avahi-daemon (521)
0 processes are unconfined but have a profile defined.
 



je ne remarque pas de soucis particulier , tous les paquets de "profils" sont installés (sur cette machine) , comme systemd (a l'époque) ça va raler tongue

Dernière modification par robert2a (13-08-2018 16:48:33)

Hors ligne

#32 13-08-2018 16:46:01

Beta-Pictoris
Membre
Distrib. : Debian Stretch
Inscription : 12-08-2015

Re : Comment utiliser AppArmor sur Debian ?

Effectivement, apparmor est activé dans le noyau. Mais tant que les profils apparmor ne sont pas chargés en mémoire, au moins une fois, ça ne posera pas de problème.
J'ai viré les paquets apparmor* pour être tranquille.

Hors ligne

#33 13-08-2018 16:49:55

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Comment utiliser AppArmor sur Debian ?

regarde au dessus ce que ça donne avec le dernier noyau , moi je suis un peu dépassé , je subis ..............

Hors ligne

#34 13-08-2018 16:59:08

Beta-Pictoris
Membre
Distrib. : Debian Stretch
Inscription : 12-08-2015

Re : Comment utiliser AppArmor sur Debian ?

Je vais tester avec le noyau testing pour voir si ça marche mieux.

Hors ligne

#35 14-08-2018 00:13:56

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : Comment utiliser AppArmor sur Debian ?

Vous savez même si c'est apparmor, vous pouvez utiliser selinux, les doc debian l'ont encore je crois (à vérifier mais y a pas de raison), je crois que le kernel debian supporte aussi selinux (au pire en compiler un après avoir activer l'option c'est pas trop le soucis). Juste faudra déinstaller apparmor si par default puis activer selinux.

Dernière modification par naguam (14-08-2018 00:14:39)

Hors ligne

#36 14-08-2018 19:23:41

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Comment utiliser AppArmor sur Debian ?

Bonjour
en 2015 , on activait selinux par grub , maintenant je sais pas , faut voir la documentation de selinux et apparmor.
mais la je suis en mode "fainéant" , je laisse faire debian ....... smile

je pense que il ne faut que l'un ou l'autre , mais la encore a vérifier

Hors ligne

#37 Hier 00:00:58

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : Comment utiliser AppArmor sur Debian ?

Apparmor (pour selinux je sais pas faudra que je regarde sur ma fedora) est soit lancé par le grub (on peut encore) soit on peut aussi faire systemctl enable apparmor, il n'est pas lancé par default sous debian, juste installé (du moins il y a un mois et quelque sous debian, mnt je sais pas)

Hors ligne

Pied de page des forums