Hallo Christian, zunächst mal vielen Dank für Deine Mail - die hat mich echt nach vorne gebracht! Am 13.10.2011 13:12, schrieb Christian Boltz:
[...]
Ist openSuSE ohne AppArmor, wie schickes Fahrrad ohne Schloss in der Großstadt - oder doch eher wie Auto mit elektronischer Wegfahrsperre aber ohne Alarmanlage?
Guter Vergleich - sogar dem Fahrrad ohne Schloss passiert nichts, solange kein Dieb kommt...
Davon abgesehen würde ich Linux nicht mit einem Fahrrad vergleichen ;-)
Du kennst mein Fahrrad nicht ...
Alternativ: Was muss ich denn jetzt schon wieder alles studieren um ein sicheres, aber administrierbares System zu bekommen?
Ich finde es auch extrem schwer diesem Fehlerteufel auf die Spur zu kommen. In beiden o.a. Fällen bin ich erst nach langer Zeit und eher per Zufall darauf gekommen das AppArmor dahinter steckt. Wo gibt es denn da mal eine Fehlermeldung der Art: "Ich, AppArmor habe zugeschlagen!".
/var/log/audit/audit.log schreibt das alles mit.
Danke! Die Datei war mir bisher völlig unbekannt. Nun muss ich nur noch die Sprache lernen die dort geschrieben steht ... In jedem Fall ist auffällig, dass vor dem Upgrade auf factory dort beim Zugriff auf den samba-Share Worte auftauchen wie "DENIED" und der Pfad zu meine Samba-Share ... BTW: Was muss ich denn mind. dazu lernen/lesen um den Inhalt der Datei "audit.log" einigermaßen zu verstehen?
So, und jetzt zum interessanten Teil - was kannst/solltest Du tun?
Erstmal empfehle ich Dir die AppArmor-Pakete aus security:apparmor:factory [1] zu installieren - gegenüber der 11.4 gab es einige Verbesserungen und Ergänzungen in den AppArmor-Profilen.
Das habe ich durchgeführt.
Mit etwas Glück sind damit Deine Dovecot-Probleme schon gelöst.
Die Dovecot-Maschine ist schon im produktiven Betrieb - da trau' ich mich das nicht so ohne weiteres - vielleicht mal am Wochenende ...
Samba ist etwas problematischer, weil die Pfade für die Freigaben frei konfigurierbar sind. Aus Samba-Sicht ist das natürlich erforderlich, aber für AppArmor ist sowas nicht wirklich out-of-the-box handhabbar. Du brauchst für jede Freigabe folgende zwei Zeilen in /etc/apparmor.d/usr.sbin.smbd (falls Du die Pakete aus security:apparmor:factory verwendest, trage es besser in /etc/apparmor.d/local/usr.sbin.smbd ein):
/pfad/zur/freigabe/ rk, /pfad/zur/freigabe/** rwkl,
Das habe ich ebenfalls durchgeführt und nun laufen Samba und AppArmor nebeneinander her und zunächst ohne weitere Auffälligkeiten. BTW: Was bedeuten die Kürzel "rk" und "rwkl" ?
Ich arbeite gerade an einer Lösung, die diesen Schnipsel automatisch beim Starten von Samba aus der smb.conf ausliest und ins AppArmor-Profil einträgt - das Grundgerüst steht, die Integration in Samba und AppArmor dauert aber noch etwas.
Ich liebe Schnipsel die Dinge automatisieren!
Wenn AppArmor jetzt immer noch etwas blockiert, würde mich interessieren, was genau. Dazu mach bitte folgendes (am Beispiel von Dovecot):
- /var/log/audit/audit.log leeren oder umbenennen, danach "rcauditd restart" - die betroffenen Profile in den Lernmodus schalten: aa-complain /etc/apparmor.d/*dovecot* - Dovecot einen Tag lang verwenden, auch mal neu starten usw. - einen Bugreport aufmachen (Komponente "AppArmor) und /var/log/audit/audit.log anhängen - mit aa-logprof die Profile aktualisieren. Die Details dazu stehen im Security Guide unter [2] - die Profile wieder scharfschalten: aa-enforce /etc/apparmor.d/*dovecot*
Okay, das werde ich versuchen wenn ich wieder Ärger habe. -- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org