Ich kapier's nicht... Ich hab das jetzt erst mal so versucht wie es im header von /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2 beschrieben ist.. aa-status sagt alle apache-relevanten profile stehen auf enforcing, und dennoch sagt mir ein ausearch -m avc -i -ts recent: "type=AVC msg=audit(03.08.2020 09:24:07.541:17166) : apparmor=DENIED operation=change_hat info=unconfined can not change_hat error=-1 profile=unconfined pid=9006 comm=httpd-prefork" Und das heisst nach meinem verständnis dass der httpd als unconfined läuft... In diesem Zusammenhang: auf Leap 15.2 wird selinux ohne policies paketiert - das hilft auch nicht wirklich weiter. grmbl. @christian: ich hab mir deine Links angesehn... Versteh ich das richtig: für AppArmor muss ich im Prinzip für "jeden Mist" erst mal Profile schreiben, es ist nix brauchbares vordefiniert? Cheers MH Am 2020-08-02 21:09, schrieb Christian Boltz:
Hallo Mathias, hallo zusammen,
Am Sonntag, 2. August 2020, 14:50:03 CEST schrieb Mathias Homann:
ich möchte den apache auf meiner Leap 15.2 mit AppArmor sichern, was muss ich machen?
Kurzfassung: Mit aa-genprof /usr/sbin/httpd2-prefork ein Profil erstellen und ggf. mit aa-logprof nacharbeiten.
Bei Apache kommt dann noch mod_apparmor dazu, damit Du jedem vHost einen eigenen Hat (Unterprofil) zuweisen kannst.
Die Doku ist entweder total nichtssagend oder zu detailiert...
Hat jemand eine 'normale' Anleitung für mich?
<Eigenwerbung> Ich verweise Dich erstmal auf meinen AppArmor Crashkurs - Folien und einen Link zum Vortragsvideo gibt es auf https://blog.cboltz.de/archives/79-FrOSCon-2019-openSUSE-booth-AppArmor-Cras... </Eigenwerbung>
Falls Dir ein Handbuch lieber ist: Der Security Guide auf doc.opensuse.org hat ein Kapitel zu AppArmor: https://doc.opensuse.org/documentation/leap/security/html/book-security/part...
Wenn Du mit einem vorhandenen Profil anfangen willst, kannst Du z. B. https://paste.opensuse.org/54846729 verwenden (als /etc/apparmor.d/httpd2-prefork speichern, dann rcapparmor reload ). Das Profil ist im complain-Mode (Lernmodus) - es wird also alles erlaubt, und Verstöße werden in /var/log/audit/audit.log mitgeschrieben. Für den Produktiveinsatz bitte per aa-enforce /etc/apparmor.d/httpd2-prefork scharfschalten.
Das erstmal als generelle Antwort. Falls noch Fragen auftauchen, frag ;-)
Gruß
Christian Boltz -- Ich komm' mir fast vor wie in nem Kochrezept... "lassen sie Ihr Hirn nun bei mindestens 40°C fuer > 12h im eigenen Saft koecheln..." [David Haller in suse-linux-faq]
-- Mathias Homann Mathias.Homann@openSUSE.org telegram: https://telegram.me/lemmy98 irc: [lemmy] on freenode and ircnet obs: lemmy04 gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102