Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-01-2019 04:57:03

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

apparmor profile="unconfined" ?

Bonjours,

j'ai un petit souci apparemment.
dmesg


[    5.136874] audit: type=1400 audit(1546828392.328:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/sbin/haveged" pid=342 comm="apparmor_parser"
[    5.137966] audit: type=1400 audit(1546828392.328:3): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/man" pid=344 comm="apparmor_parser"
[    5.137977] audit: type=1400 audit(1546828392.328:4): apparmor="STATUS" operation="profile_load" profile="unconfined" name="man_filter" pid=344 comm="apparmor_parser"
[    5.137983] audit: type=1400 audit(1546828392.328:5): apparmor="STATUS" operation="profile_load" profile="unconfined" name="man_groff" pid=344 comm="apparmor_parser"
[    5.140733] audit: type=1400 audit(1546828392.332:6): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/sbin/unbound" pid=343 comm="apparmor_parser"

 




 aa-status
apparmor module is loaded.
5 profiles are loaded.
5 profiles are in enforce mode.
   /usr/bin/man
   /usr/sbin/haveged
   /usr/sbin/unbound
   man_filter
   man_groff
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/haveged (357)
   /usr/sbin/unbound (488)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

 



petite parenthese ( En installant haveged a résolut mon problème de lenteur aux demarrage. )


apt-get update
Atteint:1 http://security.debian.org/debian-security buster/updates InRelease
Atteint:2 http://mirror.switch.ch/ftp/mirror/debian buster InRelease
Lecture des listes de paquets... Fait

apt-get full-upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
 




uname -a
Linux box 4.19.0-1-amd64 #1 SMP Debian 4.19.12-1 (2018-12-22) x86_64 GNU/Linux
 



Version : debian testing.

Après quelque recherche, le problème de ce bug existait déjà par le passer et serai lier aux kernel, (2015-2017) mai pas de solution avec, probablement résolut dans les versions supérieure.

Comme les log l'indique "unconfined" ; Est-ce que cette valeur est sure et stable ou pas ?

Merci d'avance et bonne année old_geek.gif


Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#2 07-01-2019 21:39:43

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 12-08-2015

Re : apparmor profile="unconfined" ?

"unconfined" veut dire que ton profil apparmor est désactivé (déchargé de la mémoire).

Par contre, tu dois redémarrer tes services "unbound" et "haveged" pour qu'ils repassent dans le bon mode.

Dernière modification par Beta-Pictoris (07-01-2019 22:12:15)

Hors ligne

#3 08-01-2019 14:54:35

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : apparmor profile="unconfined" ?

Merci pour ta réponse:)

ok. j'ai redémarrer la machine donc avec le tout apparmor etc, pour être sur de ne rien avoir oublier.

Ensuite j'ai constater que le problème reste le même, j'ai donc redémarrer  les services et la aucunes traces dans les log concernant apparmor,

Doit-je donc considérer qu'il n'est pas actif sur unbound  et haveged ?

Si c est le cas les clé des serveur dns pourrait ne plus fonctionner ce qui serai donc un bug coter sécurité ?

Est-ce qu'il faut corriger ce problème pas ?

Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#4 09-01-2019 22:49:48

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 12-08-2015

Re : apparmor profile="unconfined" ?

Difficile de dire. il faudrait comprendre le sens du 'profile="unconfined"' ici. Ce n'est, peut-être, pas significatif.

Surtout que 'aa-status' dit que les profils et services sont en mode enforced.

Essaye de créer un profil, teste le et regarde dans '/var/log/kern.log' s'il y a ce message 'profile="unconfined'

Par exemple, crée une copie de la commande cat :

cp /bin/cat /bin/mycat


Puis, charge un profil vide :

echo profile /bin/mycat { } | apparmor_parser -a


Regarde les logs

tail -f /var/log/kern.log


Est-ce que tu vois un message du genre ? :

apparmor="STATUS" operation="profile_load" profile="unconfined" ............


Est-ce que la commande fonctionne sur un fichier quelconque ? (Normalement, elle ne devrait pas)

/bin/mycat /etc/passwd

Dernière modification par Beta-Pictoris (09-01-2019 22:50:50)

Hors ligne

#5 09-01-2019 23:38:28

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : apparmor profile="unconfined" ?

Beta-Pictoris a écrit :

Difficile de dire. il faudrait comprendre le sens du 'profile="unconfined"' ici. Ce n'est, peut-être, pas significatif.

Surtout que 'aa-status' dit que les profils et services sont en mode enforced.

Essaye de créer un profil, teste le et regarde dans '/var/log/kern.log' s'il y a ce message 'profile="unconfined'

Par exemple, crée une copie de la commande cat :

cp /bin/cat /bin/mycat


Puis, charge un profil vide :

echo profile /bin/mycat { } | apparmor_parser -a


Regarde les logs

tail -f /var/log/kern.log


Est-ce que tu vois un message du genre ? :

apparmor="STATUS" operation="profile_load" profile="unconfined" ............


Est-ce que la commande fonctionne sur un fichier quelconque ? (Normalement, elle ne devrait pas)

/bin/mycat /etc/passwd



alors , profile crée et le fichier copier.
ensuite dans le log j'ai


audit: type=1400 audit(1547069502.198:7): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/bin/mycat" pid=29202 comm="apparmor_parser
 


Ensuite la commende fonctionne et me renvoie bien le contenu du fichier cibler. donc sa par en vrille si je comprend bien ?
si oui que doit-je  faire ?


aa-status
apparmor module is loaded.
6 profiles are loaded.
6 profiles are in enforce mode.
   /bin/mycat
   /usr/bin/man
   /usr/sbin/haveged
   /usr/sbin/unbound
   man_filter
   man_groff
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/haveged (347)
   /usr/sbin/unbound (29088)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

 

Dernière modification par LaFouine (09-01-2019 23:41:31)


Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#6 10-01-2019 20:29:37

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 12-08-2015

Re : apparmor profile="unconfined" ?

Que donne ?

cat /sys/module/apparmor/parameters/enabled


Que donne ?

uname -a


Que donne ?

cat /proc/cmdline

Dernière modification par Beta-Pictoris (10-01-2019 20:30:43)

Hors ligne

#7 10-01-2019 21:48:06

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : apparmor profile="unconfined" ?


cat /sys/module/apparmor/parameters/enabled
Y
 




 uname -a
Linux box 4.19.0-1-amd64 #1 SMP Debian 4.19.12-1 (2018-12-22) x86_64 GNU/Linux
 




cat /proc/cmdline
BOOT_IMAGE=/boot/vmlinuz-4.19.0-1-amd64 root=UUID=e1bf6bda-31c6-4b9a-ab14-3269519afbe0 ro quiet
 




voivlavoila smile merci pour ta réponse

Dernière modification par LaFouine (10-01-2019 21:52:04)


Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#8 10-01-2019 22:27:33

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 12-08-2015

Re : apparmor profile="unconfined" ?

Tu utilises un noyau testing ? C'est ça.

Normalement, sous stretch, avec le noyau stable, on doit activer apparmor en passant des paramètres au noyau:

grep GRUB_CMDLINE_LINUX_DEFAULT /etc/default/grub

GRUB_CMDLINE_LINUX_DEFAULT="apparmor=1 security=apparmor"


Avec le noyau testing, apparmor semble être activé, mais il peut tourner dans un mode particulier.

Tu devrais ajouter ces paramètres à ton fichier '/etc/default/grub' et lancer un 'update-grub2', puis rédémarrer ta machine.

Il y a aussi, le paramètre "apparmor.mode" qui peut être en mode 'unconfined'.

C'est ancien, mais on trouve des informations dessus ici: https://lists.ubuntu.com/archives/appar … 04665.html

Que donne donc ?

cat /sys/module/apparmor/parameters/mode

Dernière modification par Beta-Pictoris (10-01-2019 22:36:20)

Hors ligne

#9 11-01-2019 01:27:53

robert2a
Membre
Lieu : France
Distrib. : debian 10
Noyau : 4.19
(G)UI : Gnome
Inscription : 15-11-2014

Re : apparmor profile="unconfined" ?

Bonjour

par défaut sur Buster rien a faire , apparmor est actif


service apparmor status
 


retour


● apparmor.service - Load AppArmor profiles
   Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
   Active: active (exited) since Thu 2019-01-03 16:42:55 CET; 1 weeks 0 days ago
     Docs: man:apparmor(7)
           https://gitlab.com/apparmor/apparmor/wikis/home/
 Main PID: 586 (code=exited, status=0/SUCCESS)
    Tasks: 0 (limit: 4915)
   Memory: 0B
   CGroup: /system.slice/apparmor.service

janv. 03 16:42:55 debian30 systemd[1]: Starting Load AppArmor profiles...
janv. 03 16:42:55 debian30 apparmor[586]: Starting AppArmor profiles:.
janv. 03 16:42:55 debian30 systemd[1]: Started Load AppArmor profiles.
 



tu a des paquets additionnel

apparmor-utils
apparmor-notify
apparmor-profiles
apparmor-profiles-extra
apparmor-easyprof



juste avec le paquet de base "apparmor"


aa-status
 


retour


apparmor module is loaded.
14 profiles are loaded.
12 profiles are in enforce mode.
   /usr/bin/man
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session
   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   man_filter
   man_groff
2 profiles are in complain mode.
   libreoffice-oopslash
   libreoffice-soffice
3 processes have profiles defined.
3 processes are in enforce mode.
   /usr/sbin/cups-browsed (24024)
   /usr/sbin/cupsd (24023)
   /usr/lib/cups/notifier/dbus (27377) /usr/sbin/cupsd
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
 



si tu ajoute des profils et selon ce que tu a d' installé apparmor apliquera de nouvelles règles

lire la documentation
modifier l'état des profils

tes messages du syslog non rien d'anormal

dans synaptic par exemple tu tape "recherche" => "apparmor"

nota: j'utilise la configuration par défaut de debian

par exemple j'ai utilisé "libreoffice"


" profile="libreoffice-soffice" name="/usr/share/nvidia/nvidia-application-profiles-390.87-rc" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:31:59 debian30 kernel: [596946.929376] audit: type=1400 audit(1547127119.754:27): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/usr/share/nvidia/nvidia-application-profiles-390.87-rc" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:31:59 debian30 kernel: [596946.935488] audit: type=1400 audit(1547127119.762:28): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/modules" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:31:59 debian30 kernel: [596946.935577] audit: type=1400 audit(1547127119.762:29): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:31:59 debian30 kernel: [596946.935600] audit: type=1400 audit(1547127119.762:30): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/dev/nvidiactl" pid=27637 comm="soffice.bin" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0
Jan 10 14:31:59 debian30 kernel: [596946.935627] audit: type=1400 audit(1547127119.762:31): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/sys/devices/system/memory/block_size_bytes" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:31:59 debian30 kernel: [596946.935700] audit: type=1400 audit(1547127119.762:32): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/modules" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:31:59 debian30 kernel: [596946.935760] audit: type=1400 audit(1547127119.762:33): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:31:59 debian30 kernel: [596946.935775] audit: type=1400 audit(1547127119.762:34): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/dev/nvidia-modeset" pid=27637 comm="soffice.bin" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0
Jan 10 14:31:59 debian30 kernel: [596946.935808] audit: type=1400 audit(1547127119.762:35): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:32:22 debian30 kernel: [596970.152309] kauditd_printk_skb: 614 callbacks suppressed
Jan 10 14:32:22 debian30 kernel: [596970.152312] audit: type=1400 audit(1547127142.978:650): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/usr/share/nvidia/nvidia-application-profiles-390.87-rc" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:32:23 debian30 kernel: [596970.237508] audit: type=1400 audit(1547127143.062:651): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/usr/share/nvidia/nvidia-application-profiles-390.87-rc" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:32:23 debian30 kernel: [596970.243624] audit: type=1400 audit(1547127143.070:652): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/modules" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:32:23 debian30 kernel: [596970.243702] audit: type=1400 audit(1547127143.070:653): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:32:23 debian30 kernel: [596970.243724] audit: type=1400 audit(1547127143.070:654): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/dev/nvidiactl" pid=27727 comm="soffice.bin" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0
Jan 10 14:32:23 debian30 kernel: [596970.243749] audit: type=1400 audit(1547127143.070:655): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/sys/devices/system/memory/block_size_bytes" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:32:23 debian30 kernel: [596970.243817] audit: type=1400 audit(1547127143.070:656): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/modules" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:32:23 debian30 kernel: [596970.243875] audit: type=1400 audit(1547127143.070:657): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Jan 10 14:32:23 debian30 kernel: [596970.243890] audit: type=1400 audit(1547127143.070:658): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/dev/nvidia-modeset" pid=27727 comm="soffice.bin" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0
Jan 10 14:32:23 debian30 kernel: [596970.243922] audit: type=1400 audit(1547127143.070:659): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
 



après pour bien comprendre il faut lire la documentation , utiliser des profils existent , modifier le comportement des profils , ajouter ou créer des profils.
a chaque démarrage de la machine , par l'intermédiaire du noyau , apparmor va charger les profils disponibles avec les règles qui correspondent
si tu veut les modifier , utiliser les commandes (je te conseille de lire "les cahiers de l'administrateur" , il y a un bon paragraphe sur "selinux" et "apparmor"

j'ai ajouté 2 paquets supplémentaires "apparmor-profiles" et "apparmor-profiles-extra"


aa-status
 



apparmor module is loaded.
37 profiles are loaded.
19 profiles are in enforce mode.
   /usr/bin/man
   /usr/bin/pidgin
   /usr/bin/pidgin//sanitized_helper
   /usr/bin/totem
   /usr/bin/totem-audio-preview
   /usr/bin/totem-video-thumbnailer
   /usr/bin/totem//sanitized_helper
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session
   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session//chromium
   /usr/sbin/apt-cacher-ng
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   man_filter
   man_groff
18 profiles are in complain mode.
   /usr/bin/irssi
   /usr/{bin,sbin}/dnsmasq
   /usr/{bin,sbin}/dnsmasq//libvirt_leaseshelper
   avahi-daemon
   identd
   klogd
   libreoffice-oopslash
   libreoffice-soffice
   mdnsd
   nmbd
   nscd
   ping
   smbd
   smbldap-useradd
   smbldap-useradd///etc/init.d/nscd
   syslog-ng
   syslogd
   traceroute
2 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/cups-browsed (28664)
   /usr/sbin/cupsd (28663)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
 



sur le syslog le noyau me dit (suite a l'installation des nouvelles règles  ou au démarrage de la machine )

Jan 11 00:13:14 debian30 kernel: [631821.626766] kauditd_printk_skb: 286 callbacks suppressed
Jan 11 00:13:14 debian30 kernel: [631821.626768] audit: type=1400 audit(1547161994.450:946): apparmor="STATUS" operation="profile_load" profile="unconfined" name="ping" pid=28846 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631821.661808] audit: type=1400 audit(1547161994.482:947): apparmor="STATUS" operation="profile_load" profile="unconfined" name="klogd" pid=28852 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631821.746440] audit: type=1400 audit(1547161994.570:948): apparmor="STATUS" operation="profile_load" profile="unconfined" name="syslog-ng" pid=28858 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631821.825000] audit: type=1400 audit(1547161994.646:949): apparmor="STATUS" operation="profile_load" profile="unconfined" name="syslogd" pid=28864 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631821.910032] audit: type=1400 audit(1547161994.734:950): apparmor="STATUS" operation="profile_load" profile="unconfined" name="avahi-daemon" pid=28870 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631822.024891] audit: type=1400 audit(1547161994.846:951): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/{bin,sbin}/dnsmasq" pid=28876 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631822.024986] audit: type=1400 audit(1547161994.846:952): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/{bin,sbin}/dnsmasq//libvirt_leaseshelper" pid=28876 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631822.099588] audit: type=1400 audit(1547161994.922:953): apparmor="STATUS" operation="profile_load" profile="unconfined" name="identd" pid=28882 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631822.172918] audit: type=1400 audit(1547161994.994:954): apparmor="STATUS" operation="profile_load" profile="unconfined" name="mdnsd" pid=28888 comm="apparmor_parser"
Jan 11 00:13:15 debian30 kernel: [631822.253894] audit: type=1400 audit(1547161995.078:955): apparmor="STATUS" operation="profile_load" profile="unconfined" name="nmbd" pid=28894 comm="apparmor_parser"



tu regarde sur la doc a quoi correspond "unconfined" , tu peu le modifier , mais si tu bloque , l'application risque de ne plus fonctionner .
il faut étudier les logs et modifier les règles selon tes besoins.

je fais confiance a debian , pas trop étudié cette affaire smile

Hors ligne

#10 11-01-2019 15:07:47

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : apparmor profile="unconfined" ?

Merci pour l'aide apportée cela fait plaisir;)

j'imagine bien que debian a regarder le sujet, mai j'ai regarder le site de(s) auteur et les post son du wiki valable pour la jessie ( j'ai peut être pas regarder ou il faut.)

je suis sur la buster, d’après la doc c'est désormais pris en compte dans le kernel.

celon wikipedia https://fr.wikipedia.org/wiki/AppArmor

AppArmor[réf. souhaitée]. Canonical en a repris le développement et AppArmor fait maintenant partie du noyau Linux 2.6.362.



c'est donc a interpréter celons l'humeur du jour....

mai la n'est pas le sujet, la doc est donc présente, reste a savoir s'en servir, je doit dire que c est pas ma priorité.

voila un lien qui peu x s'avérer utile:
https://gitlab.com/apparmor/apparmor/wi … umentation

le log intéressant qui ce situe


 cat /var/log/audit/audit.log
 


Le paquet qui le fourni c'est : auditd
Donne plus de détail sur ce que fait apparmor

je laisse le poste ouvert, car ce fier a l'équipe de Debian ne confirme pas le cas énoncer dans le post principal a savoir si c est voulu et donc permis, ou une erreur dans le profile.


Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#11 11-01-2019 15:55:54

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 10
Noyau : Linux 4.19.0-5-amd64
(G)UI : mutter 3.30.2-7
Inscription : 15-02-2016

Re : apparmor profile="unconfined" ?

robert2a a écrit :

Bonjour

par défaut sur Buster rien a faire , apparmor est actif


service apparmor status
 


retour


● apparmor.service - Load AppArmor profiles
   Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
   Active: active (exited) since Thu 2019-01-03 16:42:55 CET; 1 weeks 0 days ago
     Docs: man:apparmor(7)
           https://gitlab.com/apparmor/apparmor/wikis/home/
 Main PID: 586 (code=exited, status=0/SUCCESS)
    Tasks: 0 (limit: 4915)
   Memory: 0B
   CGroup: /system.slice/apparmor.service

janv. 03 16:42:55 debian30 systemd[1]: Starting Load AppArmor profiles...
janv. 03 16:42:55 debian30 apparmor[586]: Starting AppArmor profiles:.
janv. 03 16:42:55 debian30 systemd[1]: Started Load AppArmor profiles.
 

Bonjour, l'autre jour, j'avais lors de la mise à jour, une mise à jour d'apparmor qui donnait un bug de gavité pré-occupante ( serious ) :

apt-listbugs list apparmor

Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité serious sur apparmor (→ ) <En attente de traitement>
 b1 - #918548 - About possibility to translate AppArmor tunables
Résumé :
 apparmor(1 bogue)



J'ai tout mis à jour sauf apparmor. Puis j'ai utilisé synaptic et synaptic m'indiquait qu'apparmor est obsolète, alors je l'ai supprimé. J'ai remarqué que synaptic est très utile, car il indique les logiciels qui sont obsolètes pour les fainéants comme moi qui oublient la commande aptitude  :

aptitude search ?obsolete

i A libprotobuf10                   - protocol buffers C++ library              
i A linux-doc-4.18                  - Linux kernel specific documentation for ve
i   linux-image-4.18.0-2-amd64      - Linux 4.18 for 64-bit PCs                



Que donne

aptitude search ?obsolete

chez vous ? Il y avait apparmor, mais comme je l'ai supprimé …

Dernière modification par --gilles-- (11-01-2019 15:57:36)

Hors ligne

#12 12-01-2019 05:30:13

robert2a
Membre
Lieu : France
Distrib. : debian 10
Noyau : 4.19
(G)UI : Gnome
Inscription : 15-11-2014

Re : apparmor profile="unconfined" ?

Bonjour

la commande a ne pas faire tongue  tongue   (je ne vois pas apparmor )


 aptitude search ?obsolete
 


retour


i   clang-3.8                                                     - C, C++ and Objective-C compiler (LLVM based)                            
i A doc-debian-fr                                                 - Debian Manuals, FAQs and other documents in French                      
i A doc-linux-fr-text                                             - Linux docs in French: HOWTOs, MetaFAQs in text format                  
i   fahclient                                                     - Folding@home Console Client                                            
i   fahcontrol                                                    - Folding@home Client Control                                            
i   gir1.2-mutter-2                                               - GObject introspection data for Mutter                                  
i A host                                                          - Transitional package                                                    
i   iscan                                                         - simple, easy to use scanner utility for EPSON scanners                  
i   iscan-data                                                    - Image Scan! for Linux data files                                        
i   iscan-network-nt                                              - Image Scan! Network Plugin                                              
i   libavcodec57                                                  - FFmpeg library with de/encoders for audio/video codecs - runtime files  
i   libavdevice57                                                 - FFmpeg library for handling input and output devices - runtime files    
i   libavfilter6                                                  - FFmpeg library containing media filters - runtime files                
i   libavformat57                                                 - FFmpeg library with (de)muxers for multimedia containers - runtime files
i   libavresample3                                                - FFmpeg compatibility library for resampling - runtime files            
i   libavutil55                                                   - FFmpeg library with functions for simplifying programming - runtime file
i A libbonobo2-0                                                  - Bonobo CORBA interfaces library                                        
i A libbonobo2-common                                             - Bonobo CORBA interfaces library -- support files                        
i A libbonoboui2-0                                                - Bonobo UI library - runtime                                            
i A libbonoboui2-common                                           - Bonobo UI library - common files                                        
i   libcdio17                                                     - library to read and control CD-ROM                                      
i A libclang-common-3.8-dev                                       - clang library - Common development package                              
i A libclang1-3.8                                                 - C interface to the clang library                                        
i   libcryptsetup4                                                - disk encryption support - shared library                                
i   libdns-export162                                              - Exported DNS Shared Library                                            
i   libdns-export169                                              - Exported DNS Shared Library                                            
i A libdns1102                                                    - DNS Shared Library used by BIND                                        
i   libgcr-3-common                                               - Library for Crypto UI related tasks - common files                      
i   libgdbm3                                                      - GNU dbm database routines (runtime version)                            
i   libgdbm5                                                      - GNU dbm database routines (runtime version)                            
i   libgegl-0.3-0                                                 - Generic Graphics Library                                                
i A libgnome-2-0                                                  - The GNOME library - runtime files                                      
i A libgnome-keyring-common                                       - GNOME keyring services library - data files                            
i A libgnome-keyring0                                             - GNOME keyring services library                                          
i A libgnome2-common                                              - The GNOME library - common files                                        
i A libgnomeui-0                                                  - GNOME user interface library - runtime files                            
i A libgnomeui-common                                             - GNOME user interface library - common files                            
i A libgnomevfs2-0                                                - GNOME Virtual File System (runtime libraries)                          
i A libgnomevfs2-common                                           - GNOME Virtual File System (common files)                                
i A libgnomevfs2-extra                                            - GNOME Virtual File System (extra modules)                              
i   libgutenprint2                                                - runtime for the Gutenprint printer driver library                      
i   libicu57                                                      - International Components for Unicode                                    
i   libirs160                                                     - DNS Shared Library used by BIND                                        
i   libisc-export160                                              - Exported ISC Shared Library                                            
i   libisc-export166                                              - Exported ISC Shared Library                                            
i A libisc169                                                     - ISC Shared Library used by BIND                                        
i A libisccc160                                                   - Command Channel Library used by BIND                                    
i A libisccfg160                                                  - Config File Handling Library used by BIND                              
i A libllvm3.8                                                    - Modular compiler and toolchain technologies, runtime library            
i   libllvm5.0                                                    - Modular compiler and toolchain technologies, runtime library            
i   liblogging-stdlog0                                            - easy to use and lightweight logging library                            
i   liblouis14                                                    - Braille translation library - shared libs                              
i   liblouis16                                                    - Braille translation library - shared libs                              
i A libmutter-2-0                                                 - window manager library from the Mutter window manager                  
i   libnfs8                                                       - NFS client library (shared library)                                    
i   libopenexr22                                                  - runtime files for the OpenEXR image library                            
i A liborbit-2-0                                                  - high-performance CORBA implementation - common libraries                
i A liborbit2                                                     - high-performance CORBA implementation - extra libraries                
i   liborcus-0.13-0                                               - library for processing spreadsheet documents                            
i   libperl5.26                                                   - shared Perl library                                                    
i   libpostproc54                                                 - FFmpeg library for post processing - runtime files                      
i   libprocps6                                                    - library for accessing process information from /proc                    
i   libraw16                                                      - raw image decoder library                                              
i   libruby2.3                                                    - Libraries necessary to run Ruby 2.3                                    
i A libsndio6.1                                                   - Small audio and MIDI framework from OpenBSD, runtime libraries          
i   libssl1.0.2                                                   - Secure Sockets Layer toolkit - shared libraries                        
i   libswresample2                                                - FFmpeg library for audio resampling, rematrixing etc. - runtime files  
i   libswscale4                                                   - FFmpeg library for image scaling and various conversions - runtime files
i   libunistring0                                                 - Unicode string library for C                                            
i A libvala-0.40-0                                                - C# like language for the GObject system - library                      
i A libvala-0.40-dev                                              - C# like language for the GObject system - development headers          
i   libx264-152                                                   - x264 video coding library                                              
i   libx265-146                                                   - H.265/HEVC video stream encoder (shared library)                        
i A libx265-160                                                   - H.265/HEVC video stream encoder (shared library)                        
i   linux-compiler-gcc-7-x86                                      - Compiler for Linux on x86 (meta-package)                                
i A llvm-3.8                                                      - Modular compiler and toolchain technologies                            
i A llvm-3.8-dev                                                  - Modular compiler and toolchain technologies, libraries and headers      
i A llvm-3.8-runtime                                              - Modular compiler and toolchain technologies, IR interpreter            
i A openjdk-10-jre                                                - OpenJDK Java runtime, using Hotspot JIT                                
i   openjdk-10-jre-headless                                       - OpenJDK Java runtime, using Hotspot JIT (headless)                      
i   perl-modules-5.24                                             - Core Perl modules                                                      
i A perl-modules-5.26                                             - Core Perl modules                                                      
i A python-gconf                                                  - Python bindings for the GConf configuration database system            
i A python-gnome2                                                 - Python bindings for the GNOME desktop environment                      
i A python-pyorbit                                                - A Python language binding for the ORBit2 CORBA implementation          
i   python-support                                                - automated rebuilding support for Python modules                        
i   ruby2.3                                                       - Interpreter of object-oriented scripting language Ruby                  
i A valac-0.40-vapi                                               - C# like language for the GObject system - vapi files
 



j'ai vue ce bug , ignoré , j'ai quand même installé le paquet "apparmor".
sur les machines en production , sur buster je n'ai que "firefox-esr" qui n'est pas mit a jour (bug)
je sais pas si debian va continuer la version "esr" ou pas
nota:
j'utilise des versions de paquet de jessie et stretch , donc la liste est longue .....  roll
pour les besoins de certaines applications

pour apparmor a mon avis ton information est mauvaise , dépendance du noyau et de nombreuses mises a jours depuis le début de testing


apt-cache policy apparmor
 


retour


apparmor:
  Installé : 2.13.2-3
  Candidat : 2.13.2-3
 Table de version :
 *** 2.13.2-3 500
        500 http://deb.debian.org/debian buster/main amd64 Packages
        100 /var/lib/dpkg/status
 



oui synaptic est un très bon outil  smile

Dernière modification par robert2a (12-01-2019 05:34:44)

Hors ligne

#13 12-01-2019 09:30:08

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 10
Noyau : Linux 4.19.0-5-amd64
(G)UI : mutter 3.30.2-7
Inscription : 15-02-2016

Re : apparmor profile="unconfined" ?

C'est parce que je ne me complique pas la vie : processeur Intel, processeur graphique Intel ( notices et spécifications publiques, excellent pour créer des pilotes libres ) et donc sources.list rien qu'avec buster main.

aptitude why apparmor

i   linux-image-4.18.0-2-amd64 Recommande apparmor



Vu que je roule avec linux-image-4.19.0-1-amd64, apparmor ne m'est plus nécessaire, par contre libapparmor1 est toujours présent.


aptitude search libapparmor

p   libapparmor-dev                                          - bibliothèques de développement et fichiers d'en-tête d'AppArmor  
p   libapparmor-perl                                         - liaisons Perl pour la bibliothèque AppArmor                      
p   libapparmor-perl-dbgsym                                  - debug symbols for libapparmor-perl                                
i   libapparmor1                                             - bibliothèque changehat d'AppArmor                                
p   libapparmor1-dbgsym                                      - debug symbols for libapparmor1                                    
p   python3-libapparmor                                      - AppArmor library Python3 bindings                                
p   python3-libapparmor-dbgsym                               - debug symbols for python3-libapparmor                            



J'avais refusé la mise à jour d'apparmor car je pense que si une application de sécurité est boguée, ce n'est plus de la sécurité ! Par contre pour firefox-esr vu le nombre des dépendances et des dépendances des dépendances, je pense que l'on est obligé de passer avec les bugs qui viennent des dépendances, ce n'est pas grave si le navigateur plante dans certains rares.

Hors ligne

#14 12-01-2019 10:24:58

robert2a
Membre
Lieu : France
Distrib. : debian 10
Noyau : 4.19
(G)UI : Gnome
Inscription : 15-11-2014

Re : apparmor profile="unconfined" ?

Bonjour
pour le coup je suis pas d'accord avec toi

Apparmor est un projet de testing , il est apparut avec les premiers noyaux .
il est permissif par défaut
comme toujours debian n' impose rien , a toi de le faire évoluer , modifier les règles , en créer etc .........
ils proposent des paquets , de la documentation , des règles prête a l'emploi
tu peu ne pas l'utiliser , lui préférer  SELinux (actif aussi dans les noyaux)
pour firefox je n'ai aucunes dépendances (dans ma configuration)
quand a intel sans firmware , ça doit être la misère , déjà que le gpu n'est pas terrible  hmm  (sauf sur les très vieux cpu , pris en charge en totalité par le noyau ).

mais ne dit pas que ce n'est pas de la sécurité  tongue
pour moi la critique est gratuite et sans fondement

mais bon debian est permissif aussi , a chacun son mode de fonctionnement , si tel est ton désir  smile

Hors ligne

#15 12-01-2019 10:49:43

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 10
Noyau : Linux 4.19.0-5-amd64
(G)UI : mutter 3.30.2-7
Inscription : 15-02-2016

Re : apparmor profile="unconfined" ?

Bonjour pour apparmor, je pense que le mieux est d'attendre les notes de publication de buster pour savoir ce qu'il en est réellement.


Un navigateur sans dépendances ? Je crois que cela ne va pas être possible big_smile

aptitude show firefox-esr

Paquet : firefox-esr                                    
Version : 60.4.0esr-1
État: installé
Automatiquement installé: oui
Priorité : optionnel
Section : web
Responsable : Maintainers of Mozilla-related packages <team+pkg-mozilla@tracker.debian.org>
Architecture : amd64
Taille décompressée : 166 M
Dépend: libasound2 (>= 1.0.16), libatk1.0-0 (>= 1.12.4), libc6 (>= 2.28), libcairo-gobject2 (>= 1.10.0), libcairo2 (>= 1.10.0),
        libdbus-1-3 (>= 1.9.14), libdbus-glib-1-2 (>= 0.78), libevent-2.1-6 (>= 2.1.8-stable), libffi6 (>= 3.0.4), libfontconfig1
        (>= 2.12.6), libfreetype6 (>= 2.2.1), libgcc1 (>= 1:4.2), libgdk-pixbuf2.0-0 (>= 2.22.0), libglib2.0-0 (>= 2.31.8),
        libgtk-3-0 (>= 3.0.0), libhunspell-1.7-0, libjsoncpp1 (>= 1.7.4), libnspr4 (>= 2:4.19~), libnss3 (>= 2:3.36.4~),
        libpango-1.0-0 (>= 1.14.0), libsqlite3-0 (>= 3.22.0), libstartup-notification0 (>= 0.8), libstdc++6 (>= 6), libvpx5 (>=
        1.6.0), libx11-6, libx11-xcb1, libxcb-shm0, libxcb1, libxcomposite1 (>= 1:0.3-1), libxdamage1 (>= 1:1.1), libxext6,
        libxfixes3, libxrender1, libxt6, zlib1g (>= 1:1.2.11.dfsg), fontconfig, procps, debianutils (>= 1.16)
Recommande: libavcodec58 | libavcodec-extra58 | libavcodec57 | libavcodec-extra57 | libavcodec56 | libavcodec-extra56 |
            libavcodec55 | libavcodec-extra55 | libavcodec54 | libavcodec-extra54 | libavcodec53 | libavcodec-extra53
Suggère: fonts-stix | otf-stix, fonts-lmodern, libgssapi-krb5-2 | libkrb53, libcanberra0, libgtk2.0-0, pulseaudio
Casse: xul-ext-torbutton
Fournit: gnome-www-browser, www-browser
Description : navigateur internet Firefox de Mozilla —⋅version à prise en charge étendue (ESR)
 Firefox ESR est un navigateur web puissant, extensible, qui gère les technologies web modernes.
Étiquettes: interface::graphical, interface::x11, role::program, uitoolkit::gtk, use::browsing, web::browser, x11::application
 



Intel, tout vient bien,  je ne m'occupe de rien.  big_smile

Hors ligne

#16 12-01-2019 18:42:55

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : apparmor profile="unconfined" ?

Ce que je me demande c'est pourquoi il faut Apparmor alors que jusque la on s'en passait très bien wiscot.png

j'ai aussi vu le bug mai sans graviter me concernant , s'il est permissif et qu'il faut ce tape les règle a la "mode iptable/udev" mai pour les processus on nest pas sorti de la configuration old_geek.gif.

A un moment donner je voudrais quand même utilisé le pc plutôt que de le configurerpeace_flag.gif

Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#17 13-01-2019 13:22:21

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 12-08-2015

Re : apparmor profile="unconfined" ?

LaFouine a écrit :

Ce que je me demande c'est pourquoi il faut Apparmor alors que jusque la on s'en passait très bien https://debian-facile.org/img/smilies/xtras/wiscot.png


Parce que tous les principaux concurrents y sont passés. Sur Ubuntu, il est activé par défaut.
Sur la famille fedora, le pendant "selinux" est activé par défaut depuis des années.
Je pense que debian ne veut pas rester en retrait sur ce point.

"Apparmor" ajoute une couche de sécurité supplémentaire aux droits unix traditionnels. Il permet de limiter les conséquences des vulnérabilités de ton système.

Hors ligne

#18 13-01-2019 15:45:55

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 10
Noyau : Linux 4.19.0-5-amd64
(G)UI : mutter 3.30.2-7
Inscription : 15-02-2016

Re : apparmor profile="unconfined" ?

Finalement, j'ai réinstallé apparmor aujourd'hui et il n'apparaît plus dans

aptitude   search ?obsolete

comme l'autre jour.

Hors ligne

#19 15-01-2019 07:26:28

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : apparmor profile="unconfined" ?

Merci beta pour le complément d'information smile

Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#20 19-01-2019 13:20:23

robert2a
Membre
Lieu : France
Distrib. : debian 10
Noyau : 4.19
(G)UI : Gnome
Inscription : 15-11-2014

Re : apparmor profile="unconfined" ?

Bonjour

je monte une passerelle en buster , radvd  , dhcpd6 , et bind6
le bug sur apparmor est toujours la


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité serious sur apparmor (-> 2.13.2-3) <En attente de traitement>
 b1 - #918548 - About possibility to translate AppArmor tunables
Résumé :
 apparmor(1 bogue)
Êtes-vous certain(e) de vouloir installer/mettre à niveau les paquets ci-dessus ? [Y/n/?/...]
 



sur Stretch il n'est pas actif par défaut (et je ne l'ai pas activé a partir de grub ), je vais tester sur Buster   roll

Hors ligne

Pied de page des forums