Hallo, Dank Wolfgang und Udo läuft mein Apache mittlerweise (fast vollständig) wie er soll. Ich hatte nun auch AppArmor in Verdacht und wollte dieses mal deaktivieren. Zu meiner Verwunderung stellte ich dabei aber fest, dass AppArmor (seit 12.2?) scheinbar nicht mehr standardmäßig mitinstalliert wird. Auf meinem anderen System mit 32bit (statt 64bit) ist es installiert. Allerdings hatte ich diesen Rechner mittels zypper dup von 12.1 auf 12.2 gebracht; ich hatte AppArmor aber nicht von Hand nachinstalliert. Ergo schließe ich daraus, dass es bei 12.1 noch mitinstalliert wurde. In meiner VM läuft ein 12.3 zu Testzwecken, was vorher ein 12.2 war. Auch hier "fehlt" AppArmor. Kann das jemand mit einer frischen 12.2-Installation bestätigen? Gibt es einen Grund dafür? Ich kann mich nicht erinnern auf der Liste oder im wiki dazu etwas gelesen zu haben. Insofern bin ich aufgrund einiger Probleme aus der Vergangenheit mit AppArmor auch hinundhergerissen, ob ich das überhaupt nachinstallieren sollte. Gruß, Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 2. Januar 2013 15:02 schrieb Alex Winzer <alex.e-mail@gmx.de>:
AppArmor aber nicht von Hand nachinstalliert. Ergo schließe ich daraus, dass es bei 12.1 noch mitinstalliert wurde. In meiner VM läuft ein 12.3 zu Testzwecken, was vorher ein 12.2 war. Auch hier "fehlt" AppArmor.
Feature: http://doc.opensuse.org/documentation/html/openSUSE/opensuse-security/cha.ap... Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 02.01.2013 15:07, schrieb Martin Schröder:
Am 2. Januar 2013 15:02 schrieb Alex Winzer <alex.e-mail@gmx.de>:
AppArmor aber nicht von Hand nachinstalliert. Ergo schließe ich daraus, dass es bei 12.1 noch mitinstalliert wurde. In meiner VM läuft ein 12.3 zu Testzwecken, was vorher ein 12.2 war. Auch hier "fehlt" AppArmor.
Feature: http://doc.opensuse.org/documentation/html/openSUSE/opensuse-security/cha.ap...
Gruß Martin
gute Nachricht ;-) -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Martin und Joerg, On 02.01.2013 16:19, Joerg Thuemmler wrote:
Am 02.01.2013 15:07, schrieb Martin Schröder:
Am 2. Januar 2013 15:02 schrieb Alex Winzer <alex.e-mail@gmx.de>:
AppArmor aber nicht von Hand nachinstalliert. Ergo schließe ich daraus, dass es bei 12.1 noch mitinstalliert wurde. In meiner VM läuft ein 12.3 zu Testzwecken, was vorher ein 12.2 war. Auch hier "fehlt" AppArmor.
Feature: http://doc.opensuse.org/documentation/html/openSUSE/opensuse-security/cha.ap...
Danke für die prompte Antwort.
Gruß Martin
gute Nachricht ;-)
Inwiefern ist das eine gute Nachricht? Ich hatte mich auf meinem alten Rechner an aa-logprof fast schon gewöhnt. Auf der anderen Seite war das auch immer unschön: am Wochenende Updates eingespielt und Montag früh dann der Anruf von Mitarbeitern "Dieses und jenes geht nicht, können Sie da mal ganz schnell nachsehen!". Denn immer wieder mal fehlten Profile für geupdatete Software oder diese waren falsch/unzureichend... Sollte ich das nun nachinstallieren oder - in Erinnerung an die Probleme der Vergangenheit - lieber lassen? Gruß, Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Alex, Am 02.01.2013 17:11, schrieb Alex Winzer:
Sollte ich das nun nachinstallieren oder - in Erinnerung an die Probleme der Vergangenheit - lieber lassen? Das musst Du schon selber wissen.
Meiner Meinung ist so eine Software, die mehr Probleme als Nutzen bringt, ein Fall für die Tonne. Und das ist ja jetzt endlich (fast) der Fall. Für mich selbst habe immer als erstes das ganze AppArmor-Gedöns deinstalliert, da ich der Ansicht bin, dass man eh schon genug Probleme mit nicht funktionierenden Dingen hat, da muss man sich nicht noch selber neue schaffen. Das nächste für die Tonne ist dann der Apper/packagekit Krams, der wandert bei mir auch gleich immer in den Müll
Gruß, Alex Gruß Manfred
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Manfred, hallo Alex, hallo Leute, Am Mittwoch, 2. Januar 2013 schrieb Manfred Kreisl:
Am 02.01.2013 17:11, schrieb Alex Winzer:
Sollte ich das nun nachinstallieren oder - in Erinnerung an die Probleme der Vergangenheit - lieber lassen?
Meine Antwort (als Maintainer des AppArmor-Pakets) ist wahrscheinlich nicht ganz neutral ;-) - aber ich würde dazu raten, AppArmor zu installieren. Gerade bei Servern ist es sinnvoll, (mindestens) alles, das einen Port nach außen aufhat, zu schützen.
Das musst Du schon selber wissen.
Meiner Meinung ist so eine Software, die mehr Probleme als Nutzen bringt, ein Fall für die Tonne. Und das ist ja jetzt endlich (fast) der Fall. Für mich selbst habe immer als erstes das ganze AppArmor-Gedöns deinstalliert, da ich der Ansicht bin, dass man eh schon genug Probleme mit nicht funktionierenden Dingen hat, da muss man sich nicht noch selber neue schaffen.
Vom Grundsatz her ist die Strategie "Probleme vermeiden" natürlich verständlich - aber wenn es darum geht, sicherheitsrelevante Software zu entfernen (Firewall hast Du auch abgeschaltet?), wäre die Nennung eines konkreten Grunds sinnvoller als ein IMHO nicht nachvollziehbares Pauschalargument. Butter bei die Fische: Was genau hat AppArmor bei Dir blockiert oder gestört? Ich bin gern bereit, die mitgelieferten Profile zu erweitern - dafür müsste ich aber mindestens wissen, wo der Schuh drückt ;-) Ideal wäre, wenn Du zusätzlich zur Problembeschreibung auch gleich das zugehörige /var/log/audit/audit.log mitliefern kannst. (Das Log ggf. off-list schicken oder an einen Bugreport anhängen - Anhänge müssen auf der ML nicht sein.)
Das nächste für die Tonne ist dann der Apper/packagekit Krams, der wandert bei mir auch gleich immer in den Müll
Das ist eine andere Abteilung (und nicht sicherheitsrelevant). Immerhin lässt sich PackageKit inzwischen von zypper zuverlässig killen ;-) Gruß Christian Boltz --
PHP5 wäre auch mal interessant... *WAAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHHHHHH* [> Ratti und David Haller in fontlinge-devel]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Christian Boltz wrote:
Meine Antwort (als Maintainer des AppArmor-Pakets) ist wahrscheinlich nicht ganz neutral ;-) - aber ich würde dazu raten, AppArmor zu installieren. Gerade bei Servern ist es sinnvoll, (mindestens) alles, das einen Port nach außen aufhat, zu schützen. Dem möchte ich nicht widersprechen, aber für Desktopnutzer kann AppArmor, wie SELinux auch stören und überfordern. AppArmor gehört, wie SELinux auch in professionelle Hände und auf Server! -- Ibrahim "Arastirmacilar" Yurtseven The web is what you are making of it! 2.6.32-279.19.1.el6.i686 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Christian Boltz wrote:
Ich bin gern bereit, die mitgelieferten Profile zu erweitern - dafür müsste ich aber mindestens wissen, wo der Schuh drückt ;-) Ich bin für eine Zwangsanmeldung und Zwangsnutzung aller Linuxuser mit dem Bugzilla ihrer Distribuion! :-p :-p :-p -- Ibrahim "Arastirmacilar" Yurtseven The web is what you are making of it! 2.6.32-279.19.1.el6.i686 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 02.01.2013 21:16, schrieb Ibrahim Yurtseven:
Ich bin für eine Zwangsanmeldung und Zwangsnutzung aller Linuxuser mit dem Bugzilla ihrer Distribuion! :-p :-p :-p Hallo,
ich würde gerne mit Beiträgen bei Bugzilla beitragen, aber von heute auf morgen lernt man keine Sprache Gruß Hugo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Christian Boltz [02.01.2013 20:43]:
Butter bei die Fische: Was genau hat AppArmor bei Dir blockiert oder gestört?
Hallo Christian, ich habe einen Logserver (SLES11, syslog-ng) aufgesetzt, und die Logs für fremde Hosts sollten nicht nach /var/log. Reicht das als Problembeschreibung? :-) Ich saß vor der Kiste und wartete, dass Logverzeichnisse (je Host) und darin die Dateien angelegt würden, nichts passierte. Keine sinnvollen Meldungen in den Systemlogs, nur "kann Datei xy nicht anlegen". Also Datei manuell angelegt, aber sie blieb bei 0 Byte, "kann nicht in Datei xy schreiben". Lokale Logs wurden wunderbar geschrieben. In einer NG oder Mailingliste kam dann der Tipp, mal bei AppArmor nachzusehen. Hat geholfen, habe das neue Verzeichnis analog zu /var/log definiert - muss man nur erstmal drauf kommen, dass AppArmor die Ursache ist. Als dann später /var/log zu einem Symlink auf ein größeres Filesystem wurde, wusste ich wenigstens, wo ich suchen musste... Gruß Werner - -- -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.19 (GNU/Linux) Comment: Using GnuPG with undefined - http://www.enigmail.net/ iEYEARECAAYFAlDlO3kACgkQk33Krq8b42OsqQCcDac3mJmcTbODGGK82FpdKVNL qZkAn3cagWXfKUXfKBTBHTnopjIiKYMM =2c7z -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 3. Januar 2013 schrieb Werner Flamme: (...)
muss man nur erstmal drauf kommen, dass AppArmor die Ursache ist. (...)
Und genau das ist das Problem ;-) Jetzt weißt Du wo Du im Falles des Falles mal einen Blick hinwerfen solltest. Aber da es IMHO keine anständige Dokumentation zu openSUSE gibt in der die Zusammenhänge der einzelnen Systembestandteile dargestellt werden bist Du da nicht auf AppArmor gekommen ... Ich habe da schon vor Jahren eine Bauchlandung erlitten und installierte das auf lokalen Systemen gar nicht mehr. Allerdings hat Christian dazu inzwischen so manches geschrieben (und Folien gemacht und Vorträge gehalten ... btw. meinen Dank dafür an Christian!) und die Software ist auch 'erwachsen' geworden. Schau mal hier: http://blog.cboltz.de/uploads/osc12/apparmor-in-der- praxis-2012.pdf Bye Bernd -------------------------------------------------- Bitte nur der Liste antworten, danke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Christian, hallo Leute Am 02.01.2013 20:43, schrieb Christian Boltz:
Hallo Manfred, hallo Alex, hallo Leute,
Am Mittwoch, 2. Januar 2013 schrieb Manfred Kreisl:
Am 02.01.2013 17:11, schrieb Alex Winzer:
Sollte ich das nun nachinstallieren oder - in Erinnerung an die Probleme der Vergangenheit - lieber lassen? Meine Antwort (als Maintainer des AppArmor-Pakets) ist wahrscheinlich nicht ganz neutral ;-) - aber ich würde dazu raten, AppArmor zu installieren. Gerade bei Servern ist es sinnvoll, (mindestens) alles, das einen Port nach außen aufhat, zu schützen. Das musst Du schon selber wissen.
[...] Gut. Dann werde ich das auf meinem Server mal installieren für httpd, samba & Co.
[...]
Butter bei die Fische: Was genau hat AppArmor bei Dir blockiert oder gestört?
Ich bin gern bereit, die mitgelieferten Profile zu erweitern - dafür müsste ich aber mindestens wissen, wo der Schuh drückt ;-) Ideal wäre, wenn Du zusätzlich zur Problembeschreibung auch gleich das zugehörige /var/log/audit/audit.log mitliefern kannst. (Das Log ggf. off-list schicken oder an einen Bugreport anhängen - Anhänge müssen auf der ML nicht sein.) Auch gut zu wissen. Dann werde ich mich melden, wenn mein Samba mal wieder AppArmor-bedingt nicht gehen sollte.
Das nächste für die Tonne ist dann der Apper/packagekit Krams, der wandert bei mir auch gleich immer in den Müll Das ist eine andere Abteilung (und nicht sicherheitsrelevant). Immerhin lässt sich PackageKit inzwischen von zypper zuverlässig killen ;-) Jetzt muss ich mal Butter bei die Fische geben:
Dem Link [1], den mir Martin dankenswerter Weise geschickt hat, bin ich gefolgt und habe AppArmor (nach)installiert. Unter [2] steht "AppArmor is configured to run by default on any fresh installation of openSUSE." Mit meinen bescheidenen Englischkenntnissen deute ich das so, dass AppArmor entgegen meiner Feststellungen bereits hätte installiert sein müssen. Sehe ich das falsch? Viel schlimmer ist aber, dass ich AppArmor über yast so nicht aktivieren konnte. Erst ein Neustart half, was mir nach Lektüre der Artikels auch klar wurde. Schön wäre aber ein Hinweis in yast gewesen. Danke an alle für die Tipps! Gruß, Alex [1] http://doc.opensuse.org/documentation/html/openSUSE/opensuse-security/cha.ap... [2] http://doc.opensuse.org/documentation/html/openSUSE/opensuse-security/cha.ap... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Christian Boltz [02.01.2013 20:43]:
Butter bei die Fische: Was genau hat AppArmor bei Dir blockiert oder gestört?
Ich bin gern bereit, die mitgelieferten Profile zu erweitern - dafür müsste ich aber mindestens wissen, wo der Schuh drückt ;-) Ideal wäre, wenn Du zusätzlich zur Problembeschreibung auch gleich das zugehörige /var/log/audit/audit.log mitliefern kannst. (Das Log ggf. off-list schicken oder an einen Bugreport anhängen - Anhänge müssen auf der ML nicht sein.)
Ein hamma noch: openSUSE 12.2, Update von 12.1. AppArmor läuft. Gerade wollte ich dovecot starten. - ---schnipp--- 12:57 rz36:~ # rcdovecot start redirecting to systemctl 12:57 rz36:~ # rcdovecot status redirecting to systemctl dovecot.service - Dovecot IMAP/POP3 email server Loaded: loaded (/lib/systemd/system/dovecot.service; enabled) Active: failed (Result: exit-code) since Fri, 04 Jan 2013 12:57:58 +0100; 4s ago Process: 28570 ExecStart=/usr/sbin/dovecot -F (code=exited, status=84) CGroup: name=systemd:/system/dovecot.service Jan 04 12:57:58 rz36 dovecot[28570]: Fatal: execv(/usr/bin/doveconf) failed: Permission denied 12:58 rz36:~ # startproc /usr/sbin/dovecot Fatal: execv(/usr/bin/doveconf) failed: Permission denied startproc: exit status of parent of /usr/sbin/dovecot: 84 - ---schnapp--- Oberdoppelriesenmist, würde ich sagen. Über YaST apparmor gestoppt, dovecot startet. Benutzes RPM - direkt aus dem 12.2-OSS-Repo: - ---schnipp--- Name : dovecot21 Version : 2.1.7 Release : 2.1.3 Architecture: x86_64 Install Date: Wed Dec 12 13:53:55 2012 Group : Productivity/Networking/Email/Servers Size : 7683946 License : BSD-3-Clause ; LGPL-2.1+ ; MIT Signature : RSA/SHA256, Mon Jul 16 20:12:04 2012, Key ID b88b2fd43dbdc284 Source RPM : dovecot21-2.1.7-2.1.3.src.rpm Build Date : Mon Jul 16 20:10:15 2012 Build Host : build21 Relocations : (not relocatable) Packager : http://bugs.opensuse.org Vendor : openSUSE URL : http://www.dovecot.org Summary : IMAP and POP3 Server Written Primarily with Security in Mind Description : [...] Distribution: openSUSE 12.2 - ---schnapp--- Ursache vermutlich (aus /var/log/audit/audit.log): type=AVC msg=audit(1357299975.038:37): apparmor="DENIED" operation="exec" parent=1 profile="/usr/sbin/dovecot" name="/usr/bin/doveconf" pid=27745 comm="dovecot" requested_mask="x" denied_mask="x" fsuid=0 ouid=0 Gruß Werner -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.19 (GNU/Linux) Comment: Using GnuPG with undefined - http://www.enigmail.net/ iEYEARECAAYFAlDmy1QACgkQk33Krq8b42MBJACfWzAZnOV5N03b1V7DsEbgt6n0 gyMAn2vWwKqHvHd4ca/h1MoreGEKQ70n =jc/M -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (9)
-
Alex Winzer -
Bernd Nachtigall -
Christian Boltz -
Hugo Egon Maurer -
Ibrahim Yurtseven -
Joerg Thuemmler -
Manfred Kreisl -
Martin Schröder -
Werner Flamme