Hallo Mathias, hallo zusammen, Am Sonntag, 2. August 2020, 14:50:03 CEST schrieb Mathias Homann:
ich möchte den apache auf meiner Leap 15.2 mit AppArmor sichern, was muss ich machen?
Kurzfassung: Mit aa-genprof /usr/sbin/httpd2-prefork ein Profil erstellen und ggf. mit aa-logprof nacharbeiten. Bei Apache kommt dann noch mod_apparmor dazu, damit Du jedem vHost einen eigenen Hat (Unterprofil) zuweisen kannst.
Die Doku ist entweder total nichtssagend oder zu detailiert...
Hat jemand eine 'normale' Anleitung für mich?
<Eigenwerbung> Ich verweise Dich erstmal auf meinen AppArmor Crashkurs - Folien und einen Link zum Vortragsvideo gibt es auf https://blog.cboltz.de/archives/79-FrOSCon-2019-openSUSE-booth-AppArmor-Cras... </Eigenwerbung> Falls Dir ein Handbuch lieber ist: Der Security Guide auf doc.opensuse.org hat ein Kapitel zu AppArmor: https://doc.opensuse.org/documentation/leap/security/html/book-security/part... Wenn Du mit einem vorhandenen Profil anfangen willst, kannst Du z. B. https://paste.opensuse.org/54846729 verwenden (als /etc/apparmor.d/httpd2-prefork speichern, dann rcapparmor reload ). Das Profil ist im complain-Mode (Lernmodus) - es wird also alles erlaubt, und Verstöße werden in /var/log/audit/audit.log mitgeschrieben. Für den Produktiveinsatz bitte per aa-enforce /etc/apparmor.d/httpd2-prefork scharfschalten. Das erstmal als generelle Antwort. Falls noch Fragen auftauchen, frag ;-) Gruß Christian Boltz -- Ich komm' mir fast vor wie in nem Kochrezept... "lassen sie Ihr Hirn nun bei mindestens 40°C fuer > 12h im eigenen Saft koecheln..." [David Haller in suse-linux-faq] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org