Hallo, On 11.03.2014 07:52, T. Ermlich wrote:
Gesendet: Dienstag, 11. März 2014 um 06:47 Uhr Von: "Kyek, Andreas, Vodafone DE" <A.Kyek@vodafone.com> An: "opensuse-de@opensuse.org" <opensuse-de@opensuse.org> Betreff: Re: [OT] Ist AppArmor in einem reinen Home-Use Netz notwendig?
T. Ermlich wrote:
Guten Morgen liebe Liste,
[...]
Aus den Thesen kann man viel ableiten, drum hätte ich gerne mal Daten. Bspw. halt welche Sicherheitslücken sind dank AppArmor aufgedeckt worden.
Diese Daten wird es wohl kaum geben. Meines Erachtens besteht hier auch ein Verständnisproblem: Ich bin zwar absoluter Laie und nutze openSUSE nur. Aber wenn ich das System hinter AppArmor richtig verstanden habe, dann wirkt es prophylaktisch. Es verhindert die Ausführung von (verdächtigem) Code und schützt damit das System gerade _bevor_ Sicherheitslücken aufgedeckt werden. Das bedeutet natürlich, dass AppArmor ohne entsprechende Kenntnis Code erstmal als verdächtig einstuft und die Ausführung verhindert. Konkrete Sicherheitslücken selbst wird es wohl nicht finden. Dass Probleme vor allem mit Samba bestehen ist nicht neu. Und wenn man weiß, wie man bestimmte Daemons in den Beschwerde-Modus setzt, mit aa-logprof umgehen muss und - falls kosmetisch erforderlich - die Profile von Hand nacharbeiten kann, hat man eigentlich alle Probleme im Handumdrehen gelöst. Ich selbst habe immer erstmal AppArmor im Verdacht, wenn irgendwas mit Samba nicht geht.
Es geht mir ja nicht darum AppArmor in Frage zu stellen!
Ich habe das aber - und meines Erachtens zu Recht - getan. Allerdings hatte ich mir dann auch die Mühe gemacht, mich mit dem Krempel zu beschäftigen. Das muss man bei Linux aber sowieso ständig. Ich werfe hier bloß mal das Stichwort systemctl ein.
Wir selbst nutzen seit 11.3 (?) kein AppArmor mehr, da es uns damals zu viele Probleme bereitet hat.
Das würde ich überdenken. Es sei denn, Du lässt an Deine Rechner nur (Wasser und) CD(s) [1]. Gruß, Alex [1] Kleiner Gag, für all die, welche die Werbung noch kennen :-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org