Am 03.08.20 um 20:36 schrieb Christian Boltz:
(......)
Nach Anlegen der Datei in /etc/apparmor.d/ bitte "rcapparmor reload" nicht vergessen ;-) und danach Apache (einmalig) neu starten.
Mal ne Frage, reicht es nicht auch, einfach aa-enforce PROFILENAME zu machen? Ich hatte jedenfalls mal an einem Profil gebastelt (weiß nicht mehr, war Firefox glaub ich), da musste ich tatsächlich rebooten, damit die Änderungen wirksam wurden.... ich hab da tatsächlich aa-enforce PROFILE gemacht und die Änderungen wurden nicht aktiv, erst nach Reboot.
aa-status sagt alle apache-relevanten profile stehen auf enforcing,
btw, aa-notify ist ein tolles Tool, damit wird man in seinem Desktop immer visuell informiert, wenn ein Zugriff ggf. ungewollt geblockt wurde und erlaubt werden muss. aa-notify erleichtert mir jedenfalls das Leben erheblich.
(...)
AppArmor verwendet dagegen Profile für bestimmte Anwendungen - meine Faustregel ist: alles, das am Netzwerk hängt, hat ein AppArmor-Profil verdient ;-)
Also alles... KDE /Plasma komplett wäre toll, wenn jemand 30 Jahre Zeit hätte....
Theoretisch kann man mit AppArmor auch Full System Confinement machen. Ich habe es nie selbst ausprobiert, aber ich stelle es mir ähnlich schmerzhaft vor wie das, was ich gerüchteweise über selinux gehört habe
Da gibt es ne Menge Vorlagen, mit denen man weiterbasteln kann: https://github.com/morfikov/files/tree/master/configs/etc/apparmor.d/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org