Hi,
Gesendet: Dienstag, 11. März 2014 um 10:16 Uhr Von: "Alex Winzer" <alex.e-mail@gmx.de>
Hallo,
On 11.03.2014 07:52, T. Ermlich wrote:
Gesendet: Dienstag, 11. März 2014 um 06:47 Uhr Von: "Kyek, Andreas, Vodafone DE" <A.Kyek@vodafone.com>
T. Ermlich wrote:
Guten Morgen liebe Liste,
[...]
Aus den Thesen kann man viel ableiten, drum hätte ich gerne mal Daten. Bspw. halt welche Sicherheitslücken sind dank AppArmor aufgedeckt worden.
Diese Daten wird es wohl kaum geben. Meines Erachtens besteht hier auch ein Verständnisproblem:
Ich bin zwar absoluter Laie und nutze openSUSE nur. Aber wenn ich das System hinter AppArmor richtig verstanden habe, dann wirkt es prophylaktisch. Es verhindert die Ausführung von (verdächtigem) Code und schützt damit das System gerade _bevor_ Sicherheitslücken aufgedeckt werden. Das bedeutet natürlich, dass AppArmor ohne entsprechende Kenntnis Code erstmal als verdächtig einstuft und die Ausführung verhindert. Konkrete Sicherheitslücken selbst wird es wohl nicht finden.
Aber auch diese rein persönlichen Informationen werden doch wohl zentral zusammengestellt, um dann ggf. false-positive-Blockierungen in zukünftigen Versionen zu beheben ... oder werkelt de facto tatsächlich jeder AppArmor-Nutzer allein für sich? Ich denke & hoffe das nicht ...
Dass Probleme vor allem mit Samba bestehen ist nicht neu. Und wenn man weiß, wie man bestimmte Daemons in den Beschwerde-Modus setzt, mit aa-logprof umgehen muss und - falls kosmetisch erforderlich - die Profile von Hand nacharbeiten kann, hat man eigentlich alle Probleme im Handumdrehen gelöst. Ich selbst habe immer erstmal AppArmor im Verdacht, wenn irgendwas mit Samba nicht geht.
Es geht mir ja nicht darum AppArmor in Frage zu stellen!
Ich habe das aber - und meines Erachtens zu Recht - getan. Allerdings hatte ich mir dann auch die Mühe gemacht, mich mit dem Krempel zu beschäftigen. Das muss man bei Linux aber sowieso ständig. Ich werfe hier bloß mal das Stichwort systemctl ein.
Wir selbst nutzen seit 11.3 (?) kein AppArmor mehr, da es uns damals zu viele Probleme bereitet hat.
Das würde ich überdenken. Es sei denn, Du lässt an Deine Rechner nur (Wasser und) CD(s) [1].
Was will man dann anderen Distributionen sagen? "Ihr seit unsicher weil ihr kein AppArmor imtegriert habt?" Oder den anderen Fall "openSuSE-Quellen müssen irgendwie unsicher sein, weil es im fertigen Produkt AppArmor verwendet?" ... glaub ich beides nicht ... ;)
Gruß, Alex
[1] Kleiner Gag, für all die, welche die Werbung noch kennen :-)
lach ... ;) Gruß Torsten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org