Hallo Christian, Am 14.10.2011 13:53, schrieb Christian Boltz:
Am Freitag, 14. Oktober 2011 schrieb Tao te Puh:
Am 13.10.2011 13:12, schrieb Christian Boltz:
Wo gibt es denn da mal eine Fehlermeldung der Art: "Ich, AppArmor habe zugeschlagen!".
/var/log/audit/audit.log schreibt das alles mit.
Danke! Die Datei war mir bisher völlig unbekannt. Nun muss ich nur noch die Sprache lernen die dort geschrieben steht ... In jedem Fall ist auffällig, dass vor dem Upgrade auf factory dort beim Zugriff auf den samba-Share Worte auftauchen wie "DENIED" und der Pfad zu meine Samba-Share ...
BTW: Was muss ich denn mind. dazu lernen/lesen um den Inhalt der Datei "audit.log" einigermaßen zu verstehen?
Die einfachste Lösung ist, mit "aa-notify -s 1 -v" eine Übersicht anzeigen zu lassen.
aa-notify: ERROR: 'root' must be in 'admin' group. Aborting
[...] Falls Du Videotraining magst ;-) kannst Du Dir mal meinen Vortrag vom LinuxTag 2009 ansehen. Zu finden ist der auf http://en.opensuse.org/openSUSE:LinuxTag_09 (Video + Slides) Im Wesentlichen ist er noch aktuell - es fehlen nur ein paar neue Funktionen/Regeln, die aber eher selten gebraucht werden. Außerdem wurde "set capabilities" aus AppArmor entfernt.
Das Video habe ich leider nicht gefunden - und wie immer ist es schwer, die Folien ohne Kommentar im Detail zu verstehen. Und wo wir gerade beim Thema Fortbildung sind: Kannst Du mir eine weitere Lernmittel-Empfehlung für den Einstieg in AppArmor geben? Mich interessiert dabei eher die Anwenderseite, also was in den Folien angedeutet ist: Profile erfassen/erstellen, Pflege/Erweiterung sowie Fehlerdiagnose/-Behebung. Aber einiges habe ich dazugelernt und es hat sich auch gleich mind. eine neue Frage aufgetan: Durch die Folien habe ich nun das Kommando "aa-unconfined" kennengelernt. Wenn ich das Kommando richtig verstanden habe, zeigt es mir die laufenden Prozesse und wie/ob diese geschützt sind. Nun sehe ich bei mir, dass sshd "nicht eingeschränkt" ist. Warum eigentlich nicht? Ich frage, weil ssh praktisch auf allen meinen Rechnern von außen erreichbar ist und ich bisher, unwissend, davon ausgegangen bin, dass diesem Dienst in openSuSE besondere Aufmerksamkeit geschenkt wird und somit selbstverständlich auch AppArmor seine schützende Hand über diesen Prozess hält ... Was mich allerdings wundert ist, dass es ja offensichtliche eine Profil-Datei für ssh gibt (/etc/apparmor/profiles/extras/usr.sbin.sshd). Ist die nicht scharf geschaltet? Muss ich die scharf schalten? Muss ich eventuell noch andere Profile scharf schalten? Wenn ja, wie geht man da strategisch vor und vor allem, wie macht man das? -- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org