Hallo Tao, hallo Leute, (bitte nimm mich beim Antworten ins CC - ich lese aus Zeitgründen hier nur sporadisch mit) Am Donnerstag, 13. Oktober 2011 schrieb Tao te Puh:
nachdem ich in 11.4 bezüglich AppArmor nun innerhalb kurzer Zeit zweimal ganz schrecklich auf die Nase gefallen bin (1x dovecot, 1x samba) und jede Menge Zeit vergeudet habe, wollte ich nun doch mal bei Euch nachfragen, ob ich da vielleicht generell was verkehrt mache.
In beiden Fällen hat ein Ausknipsen von AppArmor die Situation bereinigt (es waren unterschiedliche Rechner), aber ich weiß ehrlich gesagt nicht, was das für mich in punkto Sicherheit bedeutet.
Ist meine Kiste jetzt die Schießbude der Nation?
Nicht ganz, aber es fehlt Dir schon ein Stück Sicherheit. Ob Du dieses Stück Sicherheit brauchst bzw. gebraucht hättest, erfährst Du wie bei allen Sicherheitsmaßnahmen erst hinterher ;-)
Ist openSuSE ohne AppArmor, wie schickes Fahrrad ohne Schloss in der Großstadt - oder doch eher wie Auto mit elektronischer Wegfahrsperre aber ohne Alarmanlage?
Guter Vergleich - sogar dem Fahrrad ohne Schloss passiert nichts, solange kein Dieb kommt... Davon abgesehen würde ich Linux nicht mit einem Fahrrad vergleichen ;-)
Aktuell bin ich, weil ich soviel Zeit verplempert habe, natürlich extrem genervt und deshalb emotional geneigt, mir in meinen Installationsnotizen zu vermerken :
1.) Installation mit DVD 2.) AppArmor abschalten 3.) Das System konfigurieren ... ... n.) Aus purer Lust das Treppenhaus mit der Zahnbürste putzen
*lol*
Alternativ: Was muss ich denn jetzt schon wieder alles studieren um ein sicheres, aber administrierbares System zu bekommen?
Ich finde es auch extrem schwer diesem Fehlerteufel auf die Spur zu kommen. In beiden o.a. Fällen bin ich erst nach langer Zeit und eher per Zufall darauf gekommen das AppArmor dahinter steckt. Wo gibt es denn da mal eine Fehlermeldung der Art: "Ich, AppArmor habe zugeschlagen!".
/var/log/audit/audit.log schreibt das alles mit. So, und jetzt zum interessanten Teil - was kannst/solltest Du tun? Erstmal empfehle ich Dir die AppArmor-Pakete aus security:apparmor:factory [1] zu installieren - gegenüber der 11.4 gab es einige Verbesserungen und Ergänzungen in den AppArmor-Profilen. Mit etwas Glück sind damit Deine Dovecot-Probleme schon gelöst. Samba ist etwas problematischer, weil die Pfade für die Freigaben frei konfigurierbar sind. Aus Samba-Sicht ist das natürlich erforderlich, aber für AppArmor ist sowas nicht wirklich out-of-the-box handhabbar. Du brauchst für jede Freigabe folgende zwei Zeilen in /etc/apparmor.d/usr.sbin.smbd (falls Du die Pakete aus security:apparmor:factory verwendest, trage es besser in /etc/apparmor.d/local/usr.sbin.smbd ein): /pfad/zur/freigabe/ rk, /pfad/zur/freigabe/** rwkl, Ich arbeite gerade an einer Lösung, die diesen Schnipsel automatisch beim Starten von Samba aus der smb.conf ausliest und ins AppArmor-Profil einträgt - das Grundgerüst steht, die Integration in Samba und AppArmor dauert aber noch etwas. Wenn AppArmor jetzt immer noch etwas blockiert, würde mich interessieren, was genau. Dazu mach bitte folgendes (am Beispiel von Dovecot): - /var/log/audit/audit.log leeren oder umbenennen, danach "rcauditd restart" - die betroffenen Profile in den Lernmodus schalten: aa-complain /etc/apparmor.d/*dovecot* - Dovecot einen Tag lang verwenden, auch mal neu starten usw. - einen Bugreport aufmachen (Komponente "AppArmor) und /var/log/audit/audit.log anhängen - mit aa-logprof die Profile aktualisieren. Die Details dazu stehen im Security Guide unter [2] - die Profile wieder scharfschalten: aa-enforce /etc/apparmor.d/*dovecot* Das Ganze hört sich jetzt wahrscheinlich schlimmer an als es ist ;-) Gruß Christian Boltz [1] http://download.opensuse.org/repositories/security:/apparmor:/factory/openSU... [2] http://doc.opensuse.org/products/opensuse/openSUSE/opensuse- security/cha.apparmor.commandline.html#sec.apparmor.commandline.profiling.summary.logprof PS: Die Signatur ist zufällig (!) - aber so langsam beginne ich, an künstliche Intelligenz zu glauben ;-) --
Ideally, upstream projects would care for AppArmor profiles (as much as they would care for SELinux), Oh, upstream projects really care for SELinux? ;-) At least as much as they do for AppArmor ;-) [> Christian Boltz and Sascha Peilicke in opensuse-factory]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org