Utilité de AppArmor?

Chokotoff · 26-01-2017 22:43:39

Bonsoir,

Sur ma debian qu'un ami m'a configurée, je n'ai pas AppArmor d'installé. Du coup... je me demandais si c'était grave docteur? Est-ce un gros risque à la sécurité de la debian? Comment cela fonctionne-t-il exactement? Qu'est-ce que cela fait précisément? Si je souhaite installer AppArmor, comment le configurer? Ça m'a l'air un peu complexe dans le paramétrage des fichiers de configuration.

Merci d'avance pour vos conseils et avis.

anonyme · 26-01-2017 22:56:00

=> https://debian-handbook.info/browse/fr- … armor.html

tu a aussi Selinux dans le meme genre

=> https://debian-handbook.info/browse/fr- … linux.html

je pense que c'est pour des utilisateurs avisé , testé les deux mais je suis pas aller jusqu au bout de la démarche

Dernière modification par anonyme (26-01-2017 22:58:43)

Chokotoff · 26-01-2017 23:11:45

On pourrait comparer AppArmor a une sorte de sandbox/firewall? Elle limiterait l'accès aux programmes? Je crois que des distributions comme Ubuntu, ElementaryOS ont AppArmor installé par défaut. Fedora Selinux par défaut. Debian a-t-il AppArmor de préinstallé? (ma config étant une config aux petits oignons, d'où AppArmor non installé). Est-ce qu'il existe des cas rapportés conseillant son utilisation?

anonyme · 26-01-2017 23:48:20

debian contient les deux dans son noyau , après faut activer l un ou l autre , utiliser des paquets de règles existantes (ou les adapter ) et en créer d'autres si besoin
je te conseille de lire la documentation avant , après choisir l un ou l autre j'ai pas les compétences pour te conseiller .
a l'époque de mes tests j'ai eu un faible pour SeLinux mais alors debian ne proposait aucun paquets de règles a l'époque. (ce qui n'est plus le cas )
nota: voir les cahiers de l admin debian , le sujet est traité .

sogal · 27-01-2017 11:29:27

anonyme a écrit :

debian contient les deux dans son noyau , après faut activer l un ou l autre

Il faut tout de même installer les paquets qui vont bien pour les exploiter, en plus des paquets de règles.
Selinux est très restrictif et le paquet des "policies" (selinux-policy-default) par défaut est absent de Jessie. Je ne recommanderai pas son installation.
Apparmor est plus souple d'usage et, pour l'avoir utiliser un temps sous Jessie, mieux intégré / intégrable à Debian.

Chokotoff · 27-01-2017 11:44:08

Ok merci! Je vais lire un peu tout ça dans le cahier de l'admin debian.

sogal a écrit :

Apparmor est plus souple d'usage et, pour l'avoir utiliser un temps sous Jessie, mieux intégré / intégrable à Debian.

Effectivement, c'est ce qu'il me semble avoir lu quelque part sur un site.

Je reviendrai sûrement vers vous un peu plus tard quand j'aurai lu la documentation (que j'avais déjà survolée mais vite abandonnée car ça me semblait compliqué, faudrait que je persiste)

sogal · 27-01-2017 13:29:52

Chokotoff a écrit :

Je reviendrai sûrement vers vous un peu plus tard quand j'aurai lu la documentation (que j'avais déjà survolée mais vite abandonnée car ça me semblait compliqué, faudrait que je persiste)

Pour Selinux, il est essentiel de comprendre la notion de contexte et de rôle, après le reste tu peux le gérer avec les outils disponibles pour ça.
Et surtout d'avoir le réflexe : si ça ne marche pas, est-ce que ce n'est pas du fait de selinux ?

anonyme · 27-01-2017 14:04:04

Bonjour
Selinux pour l avoir testé aussi sous jessie et stretch donne une erreur (log) mais autorise quand meme l action.
il faut interpréter les logs et modifier les règles en conséquence .
pour la documentation j'ai utilisé les cahiers de l admin wheezy ou la mise en place est bien expliqué .
j' avoue que c'est pas simple , un peu pour ça que je n ai pas trop insisté .

sogal · 27-01-2017 14:18:42

anonyme a écrit :

Selinux pour l avoir testé aussi sous jessie et stretch donne une erreur (log) mais autorise quand meme l action.

Tout dépend de ta configuration, c'est effectivement le cas en "permissive", mais évidemment pas en "enforcing".

anonyme a écrit :

il faut interpréter les logs et modifier les règles en conséquence .

Oui, fort heureusement il existe des outils qui facilitent et automatisent cela et permettent d'intégrer les modifs voulues à une politique de sécurité locale définie par l'admin de la machine.

anonyme a écrit :

j' avoue que c'est pas simple , un peu pour ça que je n ai pas trop insisté

Je te comprends ! La première fois que j'ai monté des services sur une CentOS (selinux actif par défaut donc), je découvrais et j'ai cru que j'allais m'arracher la tête, rien ne fonctionnait !

kawer · 27-01-2017 18:21:51

Apparmor ou SELinux permettent de sandboxer les applications. Sur un poste client sont utilisation est peu utile a moins d'être parano ou d'avoir une raison valable de l'utiliser, par exemple sandboxer une application propriétaire comme skype.

Après il est clair que je trouve ridicule de proposer SELinux à un débutant, sa configuration n'est pas pour le premier venu. Je te conseillerais plutot apparmor qui est beaucoup plus simple d'utilisation et qui au final fait le même boulo.

Debian-facile

#1 26-01-2017 22:43:39

Utilité de AppArmor?

#2 26-01-2017 22:56:00

Re : Utilité de AppArmor?

#3 26-01-2017 23:11:45

Re : Utilité de AppArmor?

#4 26-01-2017 23:48:20

Re : Utilité de AppArmor?

#5 27-01-2017 11:29:27

Re : Utilité de AppArmor?

#6 27-01-2017 11:44:08

Re : Utilité de AppArmor?

#7 27-01-2017 13:29:52

Re : Utilité de AppArmor?

#8 27-01-2017 14:04:04

Re : Utilité de AppArmor?

#9 27-01-2017 14:18:42

Re : Utilité de AppArmor?

#10 27-01-2017 18:21:51

Re : Utilité de AppArmor?

Pied de page des forums