Hallo Tao, hallo Leute, Am Samstag, 15. Oktober 2011 schrieb Tao te Puh:
Am 14.10.2011 13:53, schrieb Christian Boltz:
Am Freitag, 14. Oktober 2011 schrieb Tao te Puh:
Am 13.10.2011 13:12, schrieb Christian Boltz:
Die einfachste Lösung ist, mit "aa-notify -s 1 -v" eine Übersicht anzeigen zu lassen.
aa-notify: ERROR: 'root' must be in 'admin' group. Aborting
Stimmt, dieses Detail hatte ich vergessen. Der Gruppenname steht in /etc/apparmor/notify.conf - dort kannst Du eine Gruppe eintragen, in der Dein User Mitglied ist. Prinzipiell funktioniert "users" - falls aber mehrere User auf Deinem System arbeiten und nicht Zugriff auf jeder die AppArmor-Meldungen bekommen soll, könnte die Gruppe "trusted" eine bessere Wahl sein. Das erinnert mich gerade daran, dass ich einen Patch mit einer etwas ausführlicheren Fehlermeldung basteln sollte ;-)
[...]
Falls Du Videotraining magst ;-) kannst Du Dir mal meinen Vortrag vom LinuxTag 2009 ansehen. Zu finden ist der auf http://en.opensuse.org/openSUSE:LinuxTag_09 (Video + Slides) Im Wesentlichen ist er noch aktuell - es fehlen nur ein paar neue Funktionen/Regeln, die aber eher selten gebraucht werden. Außerdem wurde "set capabilities" aus AppArmor entfernt.
Das Video habe ich leider nicht gefunden - und wie immer ist es schwer, die Folien ohne Kommentar im Detail zu verstehen.
Guck mal in der rechten Spalte - direkt unter dem Link zum PDF ist ein Icon, das zum Video verlinkt.
Und wo wir gerade beim Thema Fortbildung sind: Kannst Du mir eine weitere Lernmittel-Empfehlung für den Einstieg in AppArmor geben? Mich interessiert dabei eher die Anwenderseite, also was in den Folien angedeutet ist: Profile erfassen/erstellen, Pflege/Erweiterung sowie Fehlerdiagnose/-Behebung.
Der openSUSE security guide dürfte ganz hilfreich sein: http://doc.opensuse.org/products/opensuse/openSUSE/opensuse- security/part.apparmor.html Leider ist der etwas veraltet - bitte alles zum Thema "Reporting" und aa-eventd ignorieren (Bugreport ist eingereicht). Auch die offizielle AppArmor-Doku kannst Du Dir mal ansehen: http://wiki.apparmor.net/index.php/Documentation
Aber einiges habe ich dazugelernt und es hat sich auch gleich mind. eine neue Frage aufgetan:
Durch die Folien habe ich nun das Kommando "aa-unconfined" kennengelernt.
Wenn ich das Kommando richtig verstanden habe, zeigt es mir die laufenden Prozesse und wie/ob diese geschützt sind. Nun sehe ich bei
Genau.
mir, dass sshd "nicht eingeschränkt" ist. Warum eigentlich nicht? Ich
Gute Frage - ich kann Dir leider keine Antwort anbieten.
frage, weil ssh praktisch auf allen meinen Rechnern von außen erreichbar ist und ich bisher, unwissend, davon ausgegangen bin, dass diesem Dienst in openSuSE besondere Aufmerksamkeit geschenkt wird und somit selbstverständlich auch AppArmor seine schützende Hand über diesen Prozess hält ...
Was mich allerdings wundert ist, dass es ja offensichtliche eine Profil-Datei für ssh gibt (/etc/apparmor/profiles/extras/usr.sbin.sshd). Ist die nicht scharf geschaltet? Muss ich die scharf schalten? Muss ich eventuell noch andere Profile scharf schalten? Wenn ja, wie geht man da strategisch vor und vor allem, wie macht man das?
Die Profile in /etc/apparmor/profiles/extras/ sind nicht aktiv. Das kann daran liegen, dass sie unvollständig oder zu sehr einschränkend sind (wie z. B. das Firefox-Profil, das Schreibzugriffe nur in ~/Downloads erlaubt). Oder es hat sie einfach noch niemand zu den standardmäßig aktiven Profilen verschoben ;-) Aktive Profile liegen in /etc/apparmor.d/ Für sshd heißt das: das Profil nach /etc/apparmor.d/ kopieren und AppArmor und den sshd neu starten. Gruß Christian Boltz -- Bei mir setzte Yast eben $LANG auf de_DE@euro. Solange ich LANG nicht umstelle, ist es dessen schuld und ich habe mich aus der Verantwortung gezogen, falls da irgendwann mal Persisch erscheint. ;-) [Ferdinand Ihringer in suse-linux] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org