apparmor profile="unconfined" ?

LaFouine · 07-01-2019 03:57:03

Bonjours,

j'ai un petit souci apparemment.
dmesg

[    5.136874] audit: type=1400 audit(1546828392.328:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/sbin/haveged" pid=342 comm="apparmor_parser"

[    5.137966] audit: type=1400 audit(1546828392.328:3): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/man" pid=344 comm="apparmor_parser"

[    5.137977] audit: type=1400 audit(1546828392.328:4): apparmor="STATUS" operation="profile_load" profile="unconfined" name="man_filter" pid=344 comm="apparmor_parser"

[    5.137983] audit: type=1400 audit(1546828392.328:5): apparmor="STATUS" operation="profile_load" profile="unconfined" name="man_groff" pid=344 comm="apparmor_parser"

[    5.140733] audit: type=1400 audit(1546828392.332:6): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/sbin/unbound" pid=343 comm="apparmor_parser"

 aa-status

apparmor module is loaded.

5 profiles are loaded.

5 profiles are in enforce mode.

   /usr/bin/man

   /usr/sbin/haveged

   /usr/sbin/unbound

   man_filter

   man_groff

0 profiles are in complain mode.

2 processes have profiles defined.

2 processes are in enforce mode.

   /usr/sbin/haveged (357)

   /usr/sbin/unbound (488)

0 processes are in complain mode.

0 processes are unconfined but have a profile defined.

petite parenthese ( En installant haveged a résolut mon problème de lenteur aux demarrage. )

apt-get update

Atteint:1 http://security.debian.org/debian-security buster/updates InRelease

Atteint:2 http://mirror.switch.ch/ftp/mirror/debian buster InRelease

Lecture des listes de paquets... Fait

apt-get full-upgrade

Lecture des listes de paquets... Fait

Construction de l'arbre des dépendances

Lecture des informations d'état... Fait

Calcul de la mise à jour... Fait

0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.

uname -a

Linux box 4.19.0-1-amd64 #1 SMP Debian 4.19.12-1 (2018-12-22) x86_64 GNU/Linux

Version : debian testing.

Après quelque recherche, le problème de ce bug existait déjà par le passer et serai lier aux kernel, (2015-2017) mai pas de solution avec, probablement résolut dans les versions supérieure.

Comme les log l'indique "unconfined" ; Est-ce que cette valeur est sure et stable ou pas ?

Merci d'avance et bonne année

Beta-Pictoris · 07-01-2019 20:39:43

"unconfined" veut dire que ton profil apparmor est désactivé (déchargé de la mémoire).

Par contre, tu dois redémarrer tes services "unbound" et "haveged" pour qu'ils repassent dans le bon mode.

Dernière modification par Beta-Pictoris (07-01-2019 21:12:15)

LaFouine · 08-01-2019 13:54:35

Merci pour ta réponse:)

ok. j'ai redémarrer la machine donc avec le tout apparmor etc, pour être sur de ne rien avoir oublier.

Ensuite j'ai constater que le problème reste le même, j'ai donc redémarrer les services et la aucunes traces dans les log concernant apparmor,

Doit-je donc considérer qu'il n'est pas actif sur unbound et haveged ?

Si c est le cas les clé des serveur dns pourrait ne plus fonctionner ce qui serai donc un bug coter sécurité ?

Est-ce qu'il faut corriger ce problème pas ?

Beta-Pictoris · 09-01-2019 21:49:48

Difficile de dire. il faudrait comprendre le sens du 'profile="unconfined"' ici. Ce n'est, peut-être, pas significatif.

Surtout que 'aa-status' dit que les profils et services sont en mode enforced.

Essaye de créer un profil, teste le et regarde dans '/var/log/kern.log' s'il y a ce message 'profile="unconfined'

Par exemple, crée une copie de la commande cat :

cp /bin/cat /bin/mycat

Puis, charge un profil vide :

echo profile /bin/mycat { } | apparmor_parser -a

Regarde les logs

tail -f /var/log/kern.log

Est-ce que tu vois un message du genre ? :

apparmor="STATUS" operation="profile_load" profile="unconfined" ............

Est-ce que la commande fonctionne sur un fichier quelconque ? (Normalement, elle ne devrait pas)

/bin/mycat /etc/passwd

Dernière modification par Beta-Pictoris (09-01-2019 21:50:50)

LaFouine · 09-01-2019 22:38:28

Beta-Pictoris a écrit :

Difficile de dire. il faudrait comprendre le sens du 'profile="unconfined"' ici. Ce n'est, peut-être, pas significatif.

Surtout que 'aa-status' dit que les profils et services sont en mode enforced.

Essaye de créer un profil, teste le et regarde dans '/var/log/kern.log' s'il y a ce message 'profile="unconfined'

Par exemple, crée une copie de la commande cat :
cp /bin/cat /bin/mycat

Puis, charge un profil vide :
echo profile /bin/mycat { } | apparmor_parser -a

Regarde les logs
tail -f /var/log/kern.log

Est-ce que tu vois un message du genre ? :
apparmor="STATUS" operation="profile_load" profile="unconfined" ............

Est-ce que la commande fonctionne sur un fichier quelconque ? (Normalement, elle ne devrait pas)
/bin/mycat /etc/passwd

alors , profile crée et le fichier copier.
ensuite dans le log j'ai

audit: type=1400 audit(1547069502.198:7): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/bin/mycat" pid=29202 comm="apparmor_parser

 

Ensuite la commende fonctionne et me renvoie bien le contenu du fichier cibler. donc sa par en vrille si je comprend bien ?
si oui que doit-je faire ?

aa-status

apparmor module is loaded.

6 profiles are loaded.

6 profiles are in enforce mode.

   /bin/mycat

   /usr/bin/man

   /usr/sbin/haveged

   /usr/sbin/unbound

   man_filter

   man_groff

0 profiles are in complain mode.

2 processes have profiles defined.

2 processes are in enforce mode.

   /usr/sbin/haveged (347)

   /usr/sbin/unbound (29088)

0 processes are in complain mode.

0 processes are unconfined but have a profile defined.

Dernière modification par LaFouine (09-01-2019 22:41:31)

Beta-Pictoris · 10-01-2019 19:29:37

Que donne ?

cat /sys/module/apparmor/parameters/enabled 

Que donne ?

uname -a

Que donne ?

cat /proc/cmdline

Dernière modification par Beta-Pictoris (10-01-2019 19:30:43)

LaFouine · 10-01-2019 20:48:06

cat /sys/module/apparmor/parameters/enabled

Y

 uname -a

Linux box 4.19.0-1-amd64 #1 SMP Debian 4.19.12-1 (2018-12-22) x86_64 GNU/Linux

cat /proc/cmdline

BOOT_IMAGE=/boot/vmlinuz-4.19.0-1-amd64 root=UUID=e1bf6bda-31c6-4b9a-ab14-3269519afbe0 ro quiet

voivlavoila merci pour ta réponse

Dernière modification par LaFouine (10-01-2019 20:52:04)

Beta-Pictoris · 10-01-2019 21:27:33

Tu utilises un noyau testing ? C'est ça.

Normalement, sous stretch, avec le noyau stable, on doit activer apparmor en passant des paramètres au noyau:

grep GRUB_CMDLINE_LINUX_DEFAULT /etc/default/grub 

GRUB_CMDLINE_LINUX_DEFAULT="apparmor=1 security=apparmor"

Avec le noyau testing, apparmor semble être activé, mais il peut tourner dans un mode particulier.

Tu devrais ajouter ces paramètres à ton fichier '/etc/default/grub' et lancer un 'update-grub2', puis rédémarrer ta machine.

Il y a aussi, le paramètre "apparmor.mode" qui peut être en mode 'unconfined'.

C'est ancien, mais on trouve des informations dessus ici: https://lists.ubuntu.com/archives/appar … 04665.html

Que donne donc ?

cat /sys/module/apparmor/parameters/mode

Dernière modification par Beta-Pictoris (10-01-2019 21:36:20)

anonyme · 11-01-2019 00:27:53

Bonjour

par défaut sur Buster rien a faire , apparmor est actif

service apparmor status

 

retour

● apparmor.service - Load AppArmor profiles

   Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)

   Active: active (exited) since Thu 2019-01-03 16:42:55 CET; 1 weeks 0 days ago

     Docs: man:apparmor(7)

           https://gitlab.com/apparmor/apparmor/wikis/home/

 Main PID: 586 (code=exited, status=0/SUCCESS)

    Tasks: 0 (limit: 4915)

   Memory: 0B

   CGroup: /system.slice/apparmor.service

janv. 03 16:42:55 debian30 systemd[1]: Starting Load AppArmor profiles...

janv. 03 16:42:55 debian30 apparmor[586]: Starting AppArmor profiles:.

janv. 03 16:42:55 debian30 systemd[1]: Started Load AppArmor profiles.

tu a des paquets additionnel

apparmor-utils
apparmor-notify
apparmor-profiles
apparmor-profiles-extra
apparmor-easyprof

juste avec le paquet de base "apparmor"

aa-status

 

retour

apparmor module is loaded.

14 profiles are loaded.

12 profiles are in enforce mode.

   /usr/bin/man

   /usr/lib/cups/backend/cups-pdf

   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session

   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session//chromium

   /usr/sbin/cups-browsed

   /usr/sbin/cupsd

   /usr/sbin/cupsd//third_party

   libreoffice-senddoc

   libreoffice-soffice//gpg

   libreoffice-xpdfimport

   man_filter

   man_groff

2 profiles are in complain mode.

   libreoffice-oopslash

   libreoffice-soffice

3 processes have profiles defined.

3 processes are in enforce mode.

   /usr/sbin/cups-browsed (24024) 

   /usr/sbin/cupsd (24023) 

   /usr/lib/cups/notifier/dbus (27377) /usr/sbin/cupsd

0 processes are in complain mode.

0 processes are unconfined but have a profile defined.

si tu ajoute des profils et selon ce que tu a d' installé apparmor apliquera de nouvelles règles

lire la documentation
modifier l'état des profils

tes messages du syslog non rien d'anormal

dans synaptic par exemple tu tape "recherche" => "apparmor"

nota: j'utilise la configuration par défaut de debian

par exemple j'ai utilisé "libreoffice"

" profile="libreoffice-soffice" name="/usr/share/nvidia/nvidia-application-profiles-390.87-rc" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:31:59 debian30 kernel: [596946.929376] audit: type=1400 audit(1547127119.754:27): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/usr/share/nvidia/nvidia-application-profiles-390.87-rc" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:31:59 debian30 kernel: [596946.935488] audit: type=1400 audit(1547127119.762:28): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/modules" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:31:59 debian30 kernel: [596946.935577] audit: type=1400 audit(1547127119.762:29): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:31:59 debian30 kernel: [596946.935600] audit: type=1400 audit(1547127119.762:30): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/dev/nvidiactl" pid=27637 comm="soffice.bin" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0

Jan 10 14:31:59 debian30 kernel: [596946.935627] audit: type=1400 audit(1547127119.762:31): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/sys/devices/system/memory/block_size_bytes" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:31:59 debian30 kernel: [596946.935700] audit: type=1400 audit(1547127119.762:32): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/modules" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:31:59 debian30 kernel: [596946.935760] audit: type=1400 audit(1547127119.762:33): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:31:59 debian30 kernel: [596946.935775] audit: type=1400 audit(1547127119.762:34): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/dev/nvidia-modeset" pid=27637 comm="soffice.bin" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0

Jan 10 14:31:59 debian30 kernel: [596946.935808] audit: type=1400 audit(1547127119.762:35): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27637 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:32:22 debian30 kernel: [596970.152309] kauditd_printk_skb: 614 callbacks suppressed

Jan 10 14:32:22 debian30 kernel: [596970.152312] audit: type=1400 audit(1547127142.978:650): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/usr/share/nvidia/nvidia-application-profiles-390.87-rc" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:32:23 debian30 kernel: [596970.237508] audit: type=1400 audit(1547127143.062:651): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/usr/share/nvidia/nvidia-application-profiles-390.87-rc" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:32:23 debian30 kernel: [596970.243624] audit: type=1400 audit(1547127143.070:652): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/modules" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:32:23 debian30 kernel: [596970.243702] audit: type=1400 audit(1547127143.070:653): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:32:23 debian30 kernel: [596970.243724] audit: type=1400 audit(1547127143.070:654): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/dev/nvidiactl" pid=27727 comm="soffice.bin" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0

Jan 10 14:32:23 debian30 kernel: [596970.243749] audit: type=1400 audit(1547127143.070:655): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/sys/devices/system/memory/block_size_bytes" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:32:23 debian30 kernel: [596970.243817] audit: type=1400 audit(1547127143.070:656): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/modules" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:32:23 debian30 kernel: [596970.243875] audit: type=1400 audit(1547127143.070:657): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Jan 10 14:32:23 debian30 kernel: [596970.243890] audit: type=1400 audit(1547127143.070:658): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/dev/nvidia-modeset" pid=27727 comm="soffice.bin" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0

Jan 10 14:32:23 debian30 kernel: [596970.243922] audit: type=1400 audit(1547127143.070:659): apparmor="ALLOWED" operation="open" profile="libreoffice-soffice" name="/proc/driver/nvidia/params" pid=27727 comm="soffice.bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

après pour bien comprendre il faut lire la documentation , utiliser des profils existent , modifier le comportement des profils , ajouter ou créer des profils.
a chaque démarrage de la machine , par l'intermédiaire du noyau , apparmor va charger les profils disponibles avec les règles qui correspondent
si tu veut les modifier , utiliser les commandes (je te conseille de lire "les cahiers de l'administrateur" , il y a un bon paragraphe sur "selinux" et "apparmor"

j'ai ajouté 2 paquets supplémentaires "apparmor-profiles" et "apparmor-profiles-extra"

aa-status

 

apparmor module is loaded.

37 profiles are loaded.

19 profiles are in enforce mode.

   /usr/bin/man

   /usr/bin/pidgin

   /usr/bin/pidgin//sanitized_helper

   /usr/bin/totem

   /usr/bin/totem-audio-preview

   /usr/bin/totem-video-thumbnailer

   /usr/bin/totem//sanitized_helper

   /usr/lib/cups/backend/cups-pdf

   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session

   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session//chromium

   /usr/sbin/apt-cacher-ng

   /usr/sbin/cups-browsed

   /usr/sbin/cupsd

   /usr/sbin/cupsd//third_party

   libreoffice-senddoc

   libreoffice-soffice//gpg

   libreoffice-xpdfimport

   man_filter

   man_groff

18 profiles are in complain mode.

   /usr/bin/irssi

   /usr/{bin,sbin}/dnsmasq

   /usr/{bin,sbin}/dnsmasq//libvirt_leaseshelper

   avahi-daemon

   identd

   klogd

   libreoffice-oopslash

   libreoffice-soffice

   mdnsd

   nmbd

   nscd

   ping

   smbd

   smbldap-useradd

   smbldap-useradd///etc/init.d/nscd

   syslog-ng

   syslogd

   traceroute

2 processes have profiles defined.

2 processes are in enforce mode.

   /usr/sbin/cups-browsed (28664) 

   /usr/sbin/cupsd (28663) 

0 processes are in complain mode.

0 processes are unconfined but have a profile defined.

sur le syslog le noyau me dit (suite a l'installation des nouvelles règles ou au démarrage de la machine )

Jan 11 00:13:14 debian30 kernel: [631821.626766] kauditd_printk_skb: 286 callbacks suppressed
Jan 11 00:13:14 debian30 kernel: [631821.626768] audit: type=1400 audit(1547161994.450:946): apparmor="STATUS" operation="profile_load" profile="unconfined" name="ping" pid=28846 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631821.661808] audit: type=1400 audit(1547161994.482:947): apparmor="STATUS" operation="profile_load" profile="unconfined" name="klogd" pid=28852 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631821.746440] audit: type=1400 audit(1547161994.570:948): apparmor="STATUS" operation="profile_load" profile="unconfined" name="syslog-ng" pid=28858 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631821.825000] audit: type=1400 audit(1547161994.646:949): apparmor="STATUS" operation="profile_load" profile="unconfined" name="syslogd" pid=28864 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631821.910032] audit: type=1400 audit(1547161994.734:950): apparmor="STATUS" operation="profile_load" profile="unconfined" name="avahi-daemon" pid=28870 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631822.024891] audit: type=1400 audit(1547161994.846:951): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/{bin,sbin}/dnsmasq" pid=28876 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631822.024986] audit: type=1400 audit(1547161994.846:952): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/{bin,sbin}/dnsmasq//libvirt_leaseshelper" pid=28876 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631822.099588] audit: type=1400 audit(1547161994.922:953): apparmor="STATUS" operation="profile_load" profile="unconfined" name="identd" pid=28882 comm="apparmor_parser"
Jan 11 00:13:14 debian30 kernel: [631822.172918] audit: type=1400 audit(1547161994.994:954): apparmor="STATUS" operation="profile_load" profile="unconfined" name="mdnsd" pid=28888 comm="apparmor_parser"
Jan 11 00:13:15 debian30 kernel: [631822.253894] audit: type=1400 audit(1547161995.078:955): apparmor="STATUS" operation="profile_load" profile="unconfined" name="nmbd" pid=28894 comm="apparmor_parser"

tu regarde sur la doc a quoi correspond "unconfined" , tu peu le modifier , mais si tu bloque , l'application risque de ne plus fonctionner .
il faut étudier les logs et modifier les règles selon tes besoins.

je fais confiance a debian , pas trop étudié cette affaire

LaFouine · 11-01-2019 14:07:47

Merci pour l'aide apportée cela fait plaisir;)

j'imagine bien que debian a regarder le sujet, mai j'ai regarder le site de(s) auteur et les post son du wiki valable pour la jessie ( j'ai peut être pas regarder ou il faut.)

je suis sur la buster, d’après la doc c'est désormais pris en compte dans le kernel.

celon wikipedia https://fr.wikipedia.org/wiki/AppArmor

AppArmor[réf. souhaitée]. Canonical en a repris le développement et AppArmor fait maintenant partie du noyau Linux 2.6.362.

c'est donc a interpréter celons l'humeur du jour....

mai la n'est pas le sujet, la doc est donc présente, reste a savoir s'en servir, je doit dire que c est pas ma priorité.

voila un lien qui peu x s'avérer utile:
https://gitlab.com/apparmor/apparmor/wi … umentation

le log intéressant qui ce situe

 cat /var/log/audit/audit.log

 

Le paquet qui le fourni c'est : auditd
Donne plus de détail sur ce que fait apparmor

je laisse le poste ouvert, car ce fier a l'équipe de Debian ne confirme pas le cas énoncer dans le post principal a savoir si c est voulu et donc permis, ou une erreur dans le profile.

--gilles-- · 11-01-2019 14:55:54

anonyme a écrit :

Bonjour

par défaut sur Buster rien a faire , apparmor est actif

service apparmor status

retour

● apparmor.service - Load AppArmor profiles
Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
Active: active (exited) since Thu 2019-01-03 16:42:55 CET; 1 weeks 0 days ago
Docs: man:apparmor(7)
https://gitlab.com/apparmor/apparmor/wikis/home/
Main PID: 586 (code=exited, status=0/SUCCESS)
Tasks: 0 (limit: 4915)
Memory: 0B
CGroup: /system.slice/apparmor.service

janv. 03 16:42:55 debian30 systemd[1]: Starting Load AppArmor profiles...
janv. 03 16:42:55 debian30 apparmor[586]: Starting AppArmor profiles:.
janv. 03 16:42:55 debian30 systemd[1]: Started Load AppArmor profiles.

Bonjour, l'autre jour, j'avais lors de la mise à jour, une mise à jour d'apparmor qui donnait un bug de gavité pré-occupante ( serious ) :

apt-listbugs list apparmor

Récupération des rapports de bogue… Fait

Analyse des informations Trouvé/Corrigé… Fait

bogues de gravité serious sur apparmor (→ ) <En attente de traitement>

 b1 - #918548 - About possibility to translate AppArmor tunables

Résumé :

 apparmor(1 bogue)

J'ai tout mis à jour sauf apparmor. Puis j'ai utilisé synaptic et synaptic m'indiquait qu'apparmor est obsolète, alors je l'ai supprimé. J'ai remarqué que synaptic est très utile, car il indique les logiciels qui sont obsolètes pour les fainéants comme moi qui oublient la commande aptitude :

aptitude search ?obsolete

i A libprotobuf10                   - protocol buffers C++ library              

i A linux-doc-4.18                  - Linux kernel specific documentation for ve

i   linux-image-4.18.0-2-amd64      - Linux 4.18 for 64-bit PCs                 

Que donne

aptitude search ?obsolete

chez vous ? Il y avait apparmor, mais comme je l'ai supprimé …

Dernière modification par --gilles-- (11-01-2019 14:57:36)

anonyme · 12-01-2019 04:30:13

Bonjour

la commande a ne pas faire

(je ne vois pas apparmor )

 aptitude search ?obsolete

 

retour

i   clang-3.8                                                     - C, C++ and Objective-C compiler (LLVM based)                            

i A doc-debian-fr                                                 - Debian Manuals, FAQs and other documents in French                      

i A doc-linux-fr-text                                             - Linux docs in French: HOWTOs, MetaFAQs in text format                   

i   fahclient                                                     - Folding@home Console Client                                             

i   fahcontrol                                                    - Folding@home Client Control                                             

i   gir1.2-mutter-2                                               - GObject introspection data for Mutter                                   

i A host                                                          - Transitional package                                                    

i   iscan                                                         - simple, easy to use scanner utility for EPSON scanners                  

i   iscan-data                                                    - Image Scan! for Linux data files                                        

i   iscan-network-nt                                              - Image Scan! Network Plugin                                              

i   libavcodec57                                                  - FFmpeg library with de/encoders for audio/video codecs - runtime files  

i   libavdevice57                                                 - FFmpeg library for handling input and output devices - runtime files    

i   libavfilter6                                                  - FFmpeg library containing media filters - runtime files                 

i   libavformat57                                                 - FFmpeg library with (de)muxers for multimedia containers - runtime files

i   libavresample3                                                - FFmpeg compatibility library for resampling - runtime files             

i   libavutil55                                                   - FFmpeg library with functions for simplifying programming - runtime file

i A libbonobo2-0                                                  - Bonobo CORBA interfaces library                                         

i A libbonobo2-common                                             - Bonobo CORBA interfaces library -- support files                        

i A libbonoboui2-0                                                - Bonobo UI library - runtime                                             

i A libbonoboui2-common                                           - Bonobo UI library - common files                                        

i   libcdio17                                                     - library to read and control CD-ROM                                      

i A libclang-common-3.8-dev                                       - clang library - Common development package                              

i A libclang1-3.8                                                 - C interface to the clang library                                        

i   libcryptsetup4                                                - disk encryption support - shared library                                

i   libdns-export162                                              - Exported DNS Shared Library                                             

i   libdns-export169                                              - Exported DNS Shared Library                                             

i A libdns1102                                                    - DNS Shared Library used by BIND                                         

i   libgcr-3-common                                               - Library for Crypto UI related tasks - common files                      

i   libgdbm3                                                      - GNU dbm database routines (runtime version)                             

i   libgdbm5                                                      - GNU dbm database routines (runtime version)                             

i   libgegl-0.3-0                                                 - Generic Graphics Library                                                

i A libgnome-2-0                                                  - The GNOME library - runtime files                                       

i A libgnome-keyring-common                                       - GNOME keyring services library - data files                             

i A libgnome-keyring0                                             - GNOME keyring services library                                          

i A libgnome2-common                                              - The GNOME library - common files                                        

i A libgnomeui-0                                                  - GNOME user interface library - runtime files                            

i A libgnomeui-common                                             - GNOME user interface library - common files                             

i A libgnomevfs2-0                                                - GNOME Virtual File System (runtime libraries)                           

i A libgnomevfs2-common                                           - GNOME Virtual File System (common files)                                

i A libgnomevfs2-extra                                            - GNOME Virtual File System (extra modules)                               

i   libgutenprint2                                                - runtime for the Gutenprint printer driver library                       

i   libicu57                                                      - International Components for Unicode                                    

i   libirs160                                                     - DNS Shared Library used by BIND                                         

i   libisc-export160                                              - Exported ISC Shared Library                                             

i   libisc-export166                                              - Exported ISC Shared Library                                             

i A libisc169                                                     - ISC Shared Library used by BIND                                         

i A libisccc160                                                   - Command Channel Library used by BIND                                    

i A libisccfg160                                                  - Config File Handling Library used by BIND                               

i A libllvm3.8                                                    - Modular compiler and toolchain technologies, runtime library            

i   libllvm5.0                                                    - Modular compiler and toolchain technologies, runtime library            

i   liblogging-stdlog0                                            - easy to use and lightweight logging library                             

i   liblouis14                                                    - Braille translation library - shared libs                               

i   liblouis16                                                    - Braille translation library - shared libs                               

i A libmutter-2-0                                                 - window manager library from the Mutter window manager                   

i   libnfs8                                                       - NFS client library (shared library)                                     

i   libopenexr22                                                  - runtime files for the OpenEXR image library                             

i A liborbit-2-0                                                  - high-performance CORBA implementation - common libraries                

i A liborbit2                                                     - high-performance CORBA implementation - extra libraries                 

i   liborcus-0.13-0                                               - library for processing spreadsheet documents                            

i   libperl5.26                                                   - shared Perl library                                                     

i   libpostproc54                                                 - FFmpeg library for post processing - runtime files                      

i   libprocps6                                                    - library for accessing process information from /proc                    

i   libraw16                                                      - raw image decoder library                                               

i   libruby2.3                                                    - Libraries necessary to run Ruby 2.3                                     

i A libsndio6.1                                                   - Small audio and MIDI framework from OpenBSD, runtime libraries          

i   libssl1.0.2                                                   - Secure Sockets Layer toolkit - shared libraries                         

i   libswresample2                                                - FFmpeg library for audio resampling, rematrixing etc. - runtime files   

i   libswscale4                                                   - FFmpeg library for image scaling and various conversions - runtime files

i   libunistring0                                                 - Unicode string library for C                                            

i A libvala-0.40-0                                                - C# like language for the GObject system - library                       

i A libvala-0.40-dev                                              - C# like language for the GObject system - development headers           

i   libx264-152                                                   - x264 video coding library                                               

i   libx265-146                                                   - H.265/HEVC video stream encoder (shared library)                        

i A libx265-160                                                   - H.265/HEVC video stream encoder (shared library)                        

i   linux-compiler-gcc-7-x86                                      - Compiler for Linux on x86 (meta-package)                                

i A llvm-3.8                                                      - Modular compiler and toolchain technologies                             

i A llvm-3.8-dev                                                  - Modular compiler and toolchain technologies, libraries and headers      

i A llvm-3.8-runtime                                              - Modular compiler and toolchain technologies, IR interpreter             

i A openjdk-10-jre                                                - OpenJDK Java runtime, using Hotspot JIT                                 

i   openjdk-10-jre-headless                                       - OpenJDK Java runtime, using Hotspot JIT (headless)                      

i   perl-modules-5.24                                             - Core Perl modules                                                       

i A perl-modules-5.26                                             - Core Perl modules                                                       

i A python-gconf                                                  - Python bindings for the GConf configuration database system             

i A python-gnome2                                                 - Python bindings for the GNOME desktop environment                       

i A python-pyorbit                                                - A Python language binding for the ORBit2 CORBA implementation           

i   python-support                                                - automated rebuilding support for Python modules                         

i   ruby2.3                                                       - Interpreter of object-oriented scripting language Ruby                  

i A valac-0.40-vapi                                               - C# like language for the GObject system - vapi files

j'ai vue ce bug , ignoré , j'ai quand même installé le paquet "apparmor".
sur les machines en production , sur buster je n'ai que "firefox-esr" qui n'est pas mit a jour (bug)
je sais pas si debian va continuer la version "esr" ou pas
nota:
j'utilise des versions de paquet de jessie et stretch , donc la liste est longue .....
pour les besoins de certaines applications

pour apparmor a mon avis ton information est mauvaise , dépendance du noyau et de nombreuses mises a jours depuis le début de testing

apt-cache policy apparmor

 

retour

apparmor:

  Installé : 2.13.2-3

  Candidat : 2.13.2-3

 Table de version :

 *** 2.13.2-3 500

        500 http://deb.debian.org/debian buster/main amd64 Packages

        100 /var/lib/dpkg/status

oui synaptic est un très bon outil

Dernière modification par anonyme (12-01-2019 04:34:44)

--gilles-- · 12-01-2019 08:30:08

C'est parce que je ne me complique pas la vie : processeur Intel, processeur graphique Intel ( notices et spécifications publiques, excellent pour créer des pilotes libres ) et donc sources.list rien qu'avec buster main.

aptitude why apparmor

i   linux-image-4.18.0-2-amd64 Recommande apparmor

Vu que je roule avec linux-image-4.19.0-1-amd64, apparmor ne m'est plus nécessaire, par contre libapparmor1 est toujours présent.

aptitude search libapparmor

p   libapparmor-dev                                          - bibliothèques de développement et fichiers d'en-tête d'AppArmor   

p   libapparmor-perl                                         - liaisons Perl pour la bibliothèque AppArmor                       

p   libapparmor-perl-dbgsym                                  - debug symbols for libapparmor-perl                                

i   libapparmor1                                             - bibliothèque changehat d'AppArmor                                 

p   libapparmor1-dbgsym                                      - debug symbols for libapparmor1                                    

p   python3-libapparmor                                      - AppArmor library Python3 bindings                                 

p   python3-libapparmor-dbgsym                               - debug symbols for python3-libapparmor

J'avais refusé la mise à jour d'apparmor car je pense que si une application de sécurité est boguée, ce n'est plus de la sécurité ! Par contre pour firefox-esr vu le nombre des dépendances et des dépendances des dépendances, je pense que l'on est obligé de passer avec les bugs qui viennent des dépendances, ce n'est pas grave si le navigateur plante dans certains rares.

anonyme · 12-01-2019 09:24:58

Bonjour
pour le coup je suis pas d'accord avec toi

Apparmor est un projet de testing , il est apparut avec les premiers noyaux .
il est permissif par défaut
comme toujours debian n' impose rien , a toi de le faire évoluer , modifier les règles , en créer etc .........
ils proposent des paquets , de la documentation , des règles prête a l'emploi
tu peu ne pas l'utiliser , lui préférer SELinux (actif aussi dans les noyaux)
pour firefox je n'ai aucunes dépendances (dans ma configuration)
quand a intel sans firmware , ça doit être la misère , déjà que le gpu n'est pas terrible

(sauf sur les très vieux cpu , pris en charge en totalité par le noyau ).

mais ne dit pas que ce n'est pas de la sécurité

pour moi la critique est gratuite et sans fondement

mais bon debian est permissif aussi , a chacun son mode de fonctionnement , si tel est ton désir

--gilles-- · 12-01-2019 09:49:43

Bonjour pour apparmor, je pense que le mieux est d'attendre les notes de publication de buster pour savoir ce qu'il en est réellement.

Un navigateur sans dépendances ? Je crois que cela ne va pas être possible

aptitude show firefox-esr

Paquet : firefox-esr                                    

Version : 60.4.0esr-1

État: installé

Automatiquement installé: oui

Priorité : optionnel

Section : web

Responsable : Maintainers of Mozilla-related packages <team+pkg-mozilla@tracker.debian.org>

Architecture : amd64

Taille décompressée : 166 M

Dépend: libasound2 (>= 1.0.16), libatk1.0-0 (>= 1.12.4), libc6 (>= 2.28), libcairo-gobject2 (>= 1.10.0), libcairo2 (>= 1.10.0),

        libdbus-1-3 (>= 1.9.14), libdbus-glib-1-2 (>= 0.78), libevent-2.1-6 (>= 2.1.8-stable), libffi6 (>= 3.0.4), libfontconfig1

        (>= 2.12.6), libfreetype6 (>= 2.2.1), libgcc1 (>= 1:4.2), libgdk-pixbuf2.0-0 (>= 2.22.0), libglib2.0-0 (>= 2.31.8),

        libgtk-3-0 (>= 3.0.0), libhunspell-1.7-0, libjsoncpp1 (>= 1.7.4), libnspr4 (>= 2:4.19~), libnss3 (>= 2:3.36.4~),

        libpango-1.0-0 (>= 1.14.0), libsqlite3-0 (>= 3.22.0), libstartup-notification0 (>= 0.8), libstdc++6 (>= 6), libvpx5 (>=

        1.6.0), libx11-6, libx11-xcb1, libxcb-shm0, libxcb1, libxcomposite1 (>= 1:0.3-1), libxdamage1 (>= 1:1.1), libxext6,

        libxfixes3, libxrender1, libxt6, zlib1g (>= 1:1.2.11.dfsg), fontconfig, procps, debianutils (>= 1.16)

Recommande: libavcodec58 | libavcodec-extra58 | libavcodec57 | libavcodec-extra57 | libavcodec56 | libavcodec-extra56 |

            libavcodec55 | libavcodec-extra55 | libavcodec54 | libavcodec-extra54 | libavcodec53 | libavcodec-extra53

Suggère: fonts-stix | otf-stix, fonts-lmodern, libgssapi-krb5-2 | libkrb53, libcanberra0, libgtk2.0-0, pulseaudio

Casse: xul-ext-torbutton

Fournit: gnome-www-browser, www-browser

Description : navigateur internet Firefox de Mozilla —⋅version à prise en charge étendue (ESR)

 Firefox ESR est un navigateur web puissant, extensible, qui gère les technologies web modernes.

Étiquettes: interface::graphical, interface::x11, role::program, uitoolkit::gtk, use::browsing, web::browser, x11::application

Intel, tout vient bien, je ne m'occupe de rien.

LaFouine · 12-01-2019 17:42:55

Ce que je me demande c'est pourquoi il faut Apparmor alors que jusque la on s'en passait très bien

j'ai aussi vu le bug mai sans graviter me concernant , s'il est permissif et qu'il faut ce tape les règle a la "mode iptable/udev" mai pour les processus on nest pas sorti de la configuration

.

A un moment donner je voudrais quand même utilisé le pc plutôt que de le configurer

Beta-Pictoris · 13-01-2019 12:22:21

LaFouine a écrit :

Ce que je me demande c'est pourquoi il faut Apparmor alors que jusque la on s'en passait très bien https://debian-facile.org/img/smilies/xtras/wiscot.png

Parce que tous les principaux concurrents y sont passés. Sur Ubuntu, il est activé par défaut.
Sur la famille fedora, le pendant "selinux" est activé par défaut depuis des années.
Je pense que debian ne veut pas rester en retrait sur ce point.

"Apparmor" ajoute une couche de sécurité supplémentaire aux droits unix traditionnels. Il permet de limiter les conséquences des vulnérabilités de ton système.

--gilles-- · 13-01-2019 14:45:55

Finalement, j'ai réinstallé apparmor aujourd'hui et il n'apparaît plus dans

aptitude   search ?obsolete

comme l'autre jour.

LaFouine · 15-01-2019 06:26:28

Merci beta pour le complément d'information

anonyme · 19-01-2019 12:20:23

Bonjour

je monte une passerelle en buster , radvd , dhcpd6 , et bind6
le bug sur apparmor est toujours la

Récupération des rapports de bogue… Fait

Analyse des informations Trouvé/Corrigé… Fait

bogues de gravité serious sur apparmor (-> 2.13.2-3) <En attente de traitement>

 b1 - #918548 - About possibility to translate AppArmor tunables

Résumé :

 apparmor(1 bogue)

Êtes-vous certain(e) de vouloir installer/mettre à niveau les paquets ci-dessus ? [Y/n/?/...]

sur Stretch il n'est pas actif par défaut (et je ne l'ai pas activé a partir de grub ), je vais tester sur Buster

Debian-facile

#1 07-01-2019 03:57:03

apparmor profile="unconfined" ?

#2 07-01-2019 20:39:43

Re : apparmor profile="unconfined" ?

#3 08-01-2019 13:54:35

Re : apparmor profile="unconfined" ?

#4 09-01-2019 21:49:48

Re : apparmor profile="unconfined" ?

#5 09-01-2019 22:38:28

Re : apparmor profile="unconfined" ?

#6 10-01-2019 19:29:37

Re : apparmor profile="unconfined" ?

#7 10-01-2019 20:48:06

Re : apparmor profile="unconfined" ?

#8 10-01-2019 21:27:33

Re : apparmor profile="unconfined" ?

#9 11-01-2019 00:27:53

Re : apparmor profile="unconfined" ?

#10 11-01-2019 14:07:47

Re : apparmor profile="unconfined" ?

#11 11-01-2019 14:55:54

Re : apparmor profile="unconfined" ?

#12 12-01-2019 04:30:13

Re : apparmor profile="unconfined" ?

#13 12-01-2019 08:30:08

Re : apparmor profile="unconfined" ?

#14 12-01-2019 09:24:58

Re : apparmor profile="unconfined" ?

#15 12-01-2019 09:49:43

Re : apparmor profile="unconfined" ?

#16 12-01-2019 17:42:55

Re : apparmor profile="unconfined" ?

#17 13-01-2019 12:22:21

Re : apparmor profile="unconfined" ?

#18 13-01-2019 14:45:55

Re : apparmor profile="unconfined" ?

#19 15-01-2019 06:26:28

Re : apparmor profile="unconfined" ?

#20 19-01-2019 12:20:23

Re : apparmor profile="unconfined" ?

Pied de page des forums