Comment utiliser AppArmor sur Debian ?

Beta-Pictoris · 08-08-2018 11:01:59

C'est marrant que les commandes man* soient confinées.

naguam · 08-08-2018 11:38:39

J'utilise aussi apparmor. En fait tout ce qui peut être confiné est confiné pour plus de sécu. Ce qui n'est pas confiné et qui peut être critique, ce sont les programmes, services, etc qui ne peuvent pas fonctionner en confinés sans configuration spéciale.

Beta-Pictoris · 08-08-2018 11:54:53

J'aurais dis que ce qui doit être, avant tout, confiné, ce sont les services réseaux et les applications qui utilisent des protocoles réseaux.

Beta-Pictoris · 09-08-2018 16:05:05

anonyme a écrit :

voila le résultat

/usr/bin/evince-thumbnailer//sanitized_helper (enforce)
/usr/bin/evince-previewer//sanitized_helper (enforce)
/usr/bin/evince//sanitized_helper (enforce)

Quand on passe, le fichier de profil "usr.bin.evince" en mode "complain" via la commande "aa-complain", le sous-profil "sanitized_helper" reste en mode "enforce".

Ça ne t'embête pas ?

Dernière modification par Beta-Pictoris (09-08-2018 16:06:29)

Beta-Pictoris · 13-08-2018 14:21:25

Après avoir utilisé apparmor, je constate qu'il est encore très bogué.

Par exemple, l'accès aux ressources système (fichiers, sockets,...) peut rester bloqué, même quand tous les profils apparmor sont en mode "complain" ou, complètement déchargés de la mémoire. C'est très étrange.

De plus, il est très difficile de corriger les profils apparmor. Les commandes apparmor de correction automatique des profils se suffisent pas toujours. Et en correction manuel, ça ne donne souvent rien de concret.

J'ignore si la version d'apparmor pour ubuntu est aussi boguée, mais s'il est activé par défaut à l'avenir sur debian, ça va être une horreur.

Dernière modification par Beta-Pictoris (13-08-2018 15:47:51)

anonyme · 13-08-2018 15:32:15

Bonjour

tu a tout compris

nota: j'ai testé selinux et apparmor sous jessie ( encore en testing ) , donc plus trop au courant.
a priori avec le noyau apparmor est imposé par défaut sur debian.

ps: aucun paquet de profils installé , il est actif
je suis pas aller plus loin ..............

je sais pas si on peu le désactiver proprement sans modifier le noyau debian

comme le noyau 4.18 est sorti voici le retour (sur une testing)

Linux raven2200g 4.18.0-amd64 #1 SMP Mon Aug 13 15:54:05 CEST 2018 x86_64 GNU/Linux

 

aa-status

apparmor module is loaded.

47 profiles are loaded.

29 profiles are in enforce mode.

   /usr/bin/evince

   /usr/bin/evince-previewer

   /usr/bin/evince-previewer//sanitized_helper

   /usr/bin/evince-thumbnailer

   /usr/bin/evince-thumbnailer//sanitized_helper

   /usr/bin/evince//sanitized_helper

   /usr/bin/man

   /usr/bin/pidgin

   /usr/bin/pidgin//launchpad_integration

   /usr/bin/pidgin//sanitized_helper

   /usr/bin/totem

   /usr/bin/totem-audio-preview

   /usr/bin/totem-video-thumbnailer

   /usr/lib/cups/backend/cups-pdf

   /usr/lib/telepathy/mission-control-5

   /usr/lib/telepathy/telepathy-*

   /usr/lib/telepathy/telepathy-*//pxgsettings

   /usr/lib/telepathy/telepathy-*//sanitized_helper

   /usr/lib/telepathy/telepathy-ofono

   /usr/sbin/apt-cacher-ng

   /usr/sbin/cups-browsed

   /usr/sbin/cupsd

   /usr/sbin/cupsd//third_party

   gst_plugin_scanner

   libreoffice-senddoc

   libreoffice-soffice//gpg

   libreoffice-xpdfimport

   man_filter

   man_groff

18 profiles are in complain mode.

   /usr/bin/irssi

   /usr/sbin/avahi-daemon

   /usr/sbin/dnsmasq

   /usr/sbin/dnsmasq//libvirt_leaseshelper

   /usr/sbin/identd

   /usr/sbin/mdnsd

   /usr/sbin/nmbd

   /usr/sbin/nscd

   /usr/sbin/smbd

   /usr/sbin/smbldap-useradd

   /usr/sbin/smbldap-useradd///etc/init.d/nscd

   /usr/{sbin/traceroute,bin/traceroute.db}

   klogd

   libreoffice-oopslash

   libreoffice-soffice

   ping

   syslog-ng

   syslogd

4 processes have profiles defined.

2 processes are in enforce mode.

   /usr/sbin/cups-browsed (523) 

   /usr/sbin/cupsd (480) 

2 processes are in complain mode.

   /usr/sbin/avahi-daemon (485) 

   /usr/sbin/avahi-daemon (521) 

0 processes are unconfined but have a profile defined.

je ne remarque pas de soucis particulier , tous les paquets de "profils" sont installés (sur cette machine) , comme systemd (a l'époque) ça va raler

Dernière modification par anonyme (13-08-2018 15:48:33)

Beta-Pictoris · 13-08-2018 15:46:01

Effectivement, apparmor est activé dans le noyau. Mais tant que les profils apparmor ne sont pas chargés en mémoire, au moins une fois, ça ne posera pas de problème.
J'ai viré les paquets apparmor* pour être tranquille.

anonyme · 13-08-2018 15:49:55

regarde au dessus ce que ça donne avec le dernier noyau , moi je suis un peu dépassé , je subis ..............

Beta-Pictoris · 13-08-2018 15:59:08

Je vais tester avec le noyau testing pour voir si ça marche mieux.

naguam · 13-08-2018 23:13:56

Vous savez même si c'est apparmor, vous pouvez utiliser selinux, les doc debian l'ont encore je crois (à vérifier mais y a pas de raison), je crois que le kernel debian supporte aussi selinux (au pire en compiler un après avoir activer l'option c'est pas trop le soucis). Juste faudra déinstaller apparmor si par default puis activer selinux.

Dernière modification par naguam (13-08-2018 23:14:39)

anonyme · 14-08-2018 18:23:41

Bonjour
en 2015 , on activait selinux par grub , maintenant je sais pas , faut voir la documentation de selinux et apparmor.
mais la je suis en mode "fainéant" , je laisse faire debian .......

je pense que il ne faut que l'un ou l'autre , mais la encore a vérifier

naguam · 14-08-2018 23:00:58

Apparmor (pour selinux je sais pas faudra que je regarde sur ma fedora) est soit lancé par le grub (on peut encore) soit on peut aussi faire systemctl enable apparmor, il n'est pas lancé par default sous debian, juste installé (du moins il y a un mois et quelque sous debian, mnt je sais pas)

Debian-facile

#26 08-08-2018 11:01:59

Re : Comment utiliser AppArmor sur Debian ?

#27 08-08-2018 11:38:39

Re : Comment utiliser AppArmor sur Debian ?

#28 08-08-2018 11:54:53

Re : Comment utiliser AppArmor sur Debian ?

#29 09-08-2018 16:05:05

Re : Comment utiliser AppArmor sur Debian ?

#30 13-08-2018 14:21:25

Re : Comment utiliser AppArmor sur Debian ?

#31 13-08-2018 15:32:15

Re : Comment utiliser AppArmor sur Debian ?

#32 13-08-2018 15:46:01

Re : Comment utiliser AppArmor sur Debian ?

#33 13-08-2018 15:49:55

Re : Comment utiliser AppArmor sur Debian ?

#34 13-08-2018 15:59:08

Re : Comment utiliser AppArmor sur Debian ?

#35 13-08-2018 23:13:56

Re : Comment utiliser AppArmor sur Debian ?

#36 14-08-2018 18:23:41

Re : Comment utiliser AppArmor sur Debian ?

#37 14-08-2018 23:00:58

Re : Comment utiliser AppArmor sur Debian ?

Pied de page des forums