[OT] Ist AppArmor in einem reinen Home-Use Netz notwendig?
Guten Morgen liebe Liste, nach zwei postings in den letzten knapp zwei Wochen zu AppArmor stellen sich mir gerade die Fragen: ist AppArmor in einem reinen Heim-Netz überhaupt notwendig? Und: vor welchen "Schwachstellen" hat AppArmor bis dato geschützt? Auf den beiden verbliebenen OS-Systemen hier sind nur die offiziellen OS-Repos eingetragen. Einen angenehmen Tag noch Torsten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
T. Ermlich wrote:
Guten Morgen liebe Liste,
nach zwei postings in den letzten knapp zwei Wochen zu AppArmor stellen sich mir gerade die Fragen: ist AppArmor in einem reinen Heim-Netz überhaupt notwendig? Und: vor welchen "Schwachstellen" hat AppArmor bis dato geschützt? Auf den beiden verbliebenen OS-Systemen hier sind nur die offiziellen OS-Repos eingetragen.
Definiere "reines Heim-Netz"! Wenn du ein Netz meinst, das nur bei dir zu Hause existiert OHNE irgendeine Anbindung nach aussen - nein; dann hilft es dir wahrscheinlich nicht. Ansonsten: Kann man heutzutage "zuviel" Sicherheit im Netz überhaupt haben? Ich nehme jetzt mal an, die meisten hier (so auch ich) hängen zumindest hinter einem Router am I-Net und sind somit potentiell "irgendwie" angreifbar. Wie man ja weiss, muss man dazu evtl. nicht einmal selber Dienste anbieten (Beispiel: Fritz-Box Problem). Ich bin der Meinung das AppArmor prinzipiell eine gute Sache ist - ärgerlich ist es nur wenn es nicht so funktioniert wie man es erwartet. Das ist aber überall in der Technik so. AppArmor verrichtet doch ansonsten seinen Job augenscheinlich unauffällig - wir hätten sonst viel mehr Posts zu dem Thema hier. Die beiden Frage zu AppArmor waren von mir - einmal war es ein halb hausgemachtes (Logfile) und halb "weniger gut" dokumentiertes Problem und das zweite scheint ein Bug zu sein. Das passiert aber überall und sollte nicht davon abhalten, es zu nutzen. Und in beiden Fällen ist das Problem/der Fehler für mich in kurzer Zeit behebbar Gewesen. Also mein Fazit: benutzen. ALLES was deinen Rechner absichert sollte benutzt Werden. Ein zuviel an Sicherheit gibt es hier (leider) nicht. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Gesendet: Dienstag, 11. März 2014 um 06:47 Uhr Von: "Kyek, Andreas, Vodafone DE" <A.Kyek@vodafone.com> An: "opensuse-de@opensuse.org" <opensuse-de@opensuse.org> Betreff: Re: [OT] Ist AppArmor in einem reinen Home-Use Netz notwendig?
T. Ermlich wrote:
Guten Morgen liebe Liste,
nach zwei postings in den letzten knapp zwei Wochen zu AppArmor stellen sich mir gerade die Fragen: ist AppArmor in einem reinen Heim-Netz überhaupt notwendig? Und: vor welchen "Schwachstellen" hat AppArmor bis dato geschützt? Auf den beiden verbliebenen OS-Systemen hier sind nur die offiziellen OS-Repos eingetragen.
Definiere "reines Heim-Netz"!
Wenn du ein Netz meinst, das nur bei dir zu Hause existiert OHNE irgendeine Anbindung nach aussen - nein; dann hilft es dir wahrscheinlich nicht.
Ansonsten: Kann man heutzutage "zuviel" Sicherheit im Netz überhaupt haben? Ich nehme jetzt mal an, die meisten hier (so auch ich) hängen zumindest hinter einem Router am I-Net und sind somit potentiell "irgendwie" angreifbar. Wie man ja weiss, muss man dazu evtl. nicht einmal selber Dienste anbieten (Beispiel: Fritz-Box Problem).
nzi: router & squid & dansguardian imho sind unbekannte Quellen von Paketen wesentlich gefährlicher ... Bekannte Probleme großer Hersteller (AVM, D-Link, Cisco, usw.) gehen regelmäßig durch die Presse. Unbekannte Quellen mit der lapidaren Beschreibung á la "let's u c when a friend has blocked ur WA messages" (;)) machen mir eher Kopfschmerzen. Die böse Gegenfrage lautet: wie viele stellen etwas nicht funktionierendes fest, lesen schnell und oberflächlich im Netz nach, und finden mehrmals den Tip "schalte AppArmor ab". Sie tun es, ihr "Problem" wurde behoben, und sie fragen nicht nach ... sondern vergessen es, oder warten auf ein update. Oder: sie haben AppArmor wegen Problemen in der Vergangenheit direkt nach der Installation deaktiviert.
Ich bin der Meinung das AppArmor prinzipiell eine gute Sache ist - ärgerlich ist es nur wenn es nicht so funktioniert wie man es erwartet. Das ist aber überall in der Technik so. AppArmor verrichtet doch ansonsten seinen Job augenscheinlich unauffällig - wir hätten sonst viel mehr Posts zu dem Thema hier.
Darum ja meine zweite Frage: wovor hat AppArmor bis dato zählbar geschützt.
Die beiden Frage zu AppArmor waren von mir - einmal war es ein halb hausgemachtes (Logfile) und halb "weniger gut" dokumentiertes Problem und das zweite scheint ein Bug zu sein. Das passiert aber überall und sollte nicht davon abhalten, es zu nutzen. Und in beiden Fällen ist das Problem/der Fehler für mich in kurzer Zeit behebbar Gewesen.
Also mein Fazit: benutzen. ALLES was deinen Rechner absichert sollte benutzt Werden. Ein zuviel an Sicherheit gibt es hier (leider) nicht.
... wenn das auch mal all jene Mail-AV-Verweigerer so sehen würden ... ;) Ist aber ein anderes Thema. Aus den Thesen kann man viel ableiten, drum hätte ich gerne mal Daten. Bspw. halt welche Sicherheitslücken sind dank AppArmor aufgedeckt worden. Es geht mir ja nicht darum AppArmor in Frage zu stellen! Wir selbst nutzen seit 11.3 (?) kein AppArmor mehr, da es uns damals zu viele Probleme bereitet hat.
Andreas
Torsten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Gegenfrage, warum eigentlich AppArmor, wenn selinux im kernel gleich von haus aus mit drin ist? Bisdenndann MH ----------------------------------------- This email was sent using SquirrelMail. "Webmail for nuts!" http://squirrelmail.org/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, On 11.03.2014 07:52, T. Ermlich wrote:
Gesendet: Dienstag, 11. März 2014 um 06:47 Uhr Von: "Kyek, Andreas, Vodafone DE" <A.Kyek@vodafone.com> An: "opensuse-de@opensuse.org" <opensuse-de@opensuse.org> Betreff: Re: [OT] Ist AppArmor in einem reinen Home-Use Netz notwendig?
T. Ermlich wrote:
Guten Morgen liebe Liste,
[...]
Aus den Thesen kann man viel ableiten, drum hätte ich gerne mal Daten. Bspw. halt welche Sicherheitslücken sind dank AppArmor aufgedeckt worden.
Diese Daten wird es wohl kaum geben. Meines Erachtens besteht hier auch ein Verständnisproblem: Ich bin zwar absoluter Laie und nutze openSUSE nur. Aber wenn ich das System hinter AppArmor richtig verstanden habe, dann wirkt es prophylaktisch. Es verhindert die Ausführung von (verdächtigem) Code und schützt damit das System gerade _bevor_ Sicherheitslücken aufgedeckt werden. Das bedeutet natürlich, dass AppArmor ohne entsprechende Kenntnis Code erstmal als verdächtig einstuft und die Ausführung verhindert. Konkrete Sicherheitslücken selbst wird es wohl nicht finden. Dass Probleme vor allem mit Samba bestehen ist nicht neu. Und wenn man weiß, wie man bestimmte Daemons in den Beschwerde-Modus setzt, mit aa-logprof umgehen muss und - falls kosmetisch erforderlich - die Profile von Hand nacharbeiten kann, hat man eigentlich alle Probleme im Handumdrehen gelöst. Ich selbst habe immer erstmal AppArmor im Verdacht, wenn irgendwas mit Samba nicht geht.
Es geht mir ja nicht darum AppArmor in Frage zu stellen!
Ich habe das aber - und meines Erachtens zu Recht - getan. Allerdings hatte ich mir dann auch die Mühe gemacht, mich mit dem Krempel zu beschäftigen. Das muss man bei Linux aber sowieso ständig. Ich werfe hier bloß mal das Stichwort systemctl ein.
Wir selbst nutzen seit 11.3 (?) kein AppArmor mehr, da es uns damals zu viele Probleme bereitet hat.
Das würde ich überdenken. Es sei denn, Du lässt an Deine Rechner nur (Wasser und) CD(s) [1]. Gruß, Alex [1] Kleiner Gag, für all die, welche die Werbung noch kennen :-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi,
Gesendet: Dienstag, 11. März 2014 um 10:16 Uhr Von: "Alex Winzer" <alex.e-mail@gmx.de>
Hallo,
On 11.03.2014 07:52, T. Ermlich wrote:
Gesendet: Dienstag, 11. März 2014 um 06:47 Uhr Von: "Kyek, Andreas, Vodafone DE" <A.Kyek@vodafone.com>
T. Ermlich wrote:
Guten Morgen liebe Liste,
[...]
Aus den Thesen kann man viel ableiten, drum hätte ich gerne mal Daten. Bspw. halt welche Sicherheitslücken sind dank AppArmor aufgedeckt worden.
Diese Daten wird es wohl kaum geben. Meines Erachtens besteht hier auch ein Verständnisproblem:
Ich bin zwar absoluter Laie und nutze openSUSE nur. Aber wenn ich das System hinter AppArmor richtig verstanden habe, dann wirkt es prophylaktisch. Es verhindert die Ausführung von (verdächtigem) Code und schützt damit das System gerade _bevor_ Sicherheitslücken aufgedeckt werden. Das bedeutet natürlich, dass AppArmor ohne entsprechende Kenntnis Code erstmal als verdächtig einstuft und die Ausführung verhindert. Konkrete Sicherheitslücken selbst wird es wohl nicht finden.
Aber auch diese rein persönlichen Informationen werden doch wohl zentral zusammengestellt, um dann ggf. false-positive-Blockierungen in zukünftigen Versionen zu beheben ... oder werkelt de facto tatsächlich jeder AppArmor-Nutzer allein für sich? Ich denke & hoffe das nicht ...
Dass Probleme vor allem mit Samba bestehen ist nicht neu. Und wenn man weiß, wie man bestimmte Daemons in den Beschwerde-Modus setzt, mit aa-logprof umgehen muss und - falls kosmetisch erforderlich - die Profile von Hand nacharbeiten kann, hat man eigentlich alle Probleme im Handumdrehen gelöst. Ich selbst habe immer erstmal AppArmor im Verdacht, wenn irgendwas mit Samba nicht geht.
Es geht mir ja nicht darum AppArmor in Frage zu stellen!
Ich habe das aber - und meines Erachtens zu Recht - getan. Allerdings hatte ich mir dann auch die Mühe gemacht, mich mit dem Krempel zu beschäftigen. Das muss man bei Linux aber sowieso ständig. Ich werfe hier bloß mal das Stichwort systemctl ein.
Wir selbst nutzen seit 11.3 (?) kein AppArmor mehr, da es uns damals zu viele Probleme bereitet hat.
Das würde ich überdenken. Es sei denn, Du lässt an Deine Rechner nur (Wasser und) CD(s) [1].
Was will man dann anderen Distributionen sagen? "Ihr seit unsicher weil ihr kein AppArmor imtegriert habt?" Oder den anderen Fall "openSuSE-Quellen müssen irgendwie unsicher sein, weil es im fertigen Produkt AppArmor verwendet?" ... glaub ich beides nicht ... ;)
Gruß, Alex
[1] Kleiner Gag, für all die, welche die Werbung noch kennen :-)
lach ... ;) Gruß Torsten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
T. Ermlich [11.03.2014 11:07]:
Was will man dann anderen Distributionen sagen? "Ihr seit unsicher weil ihr kein AppArmor imtegriert habt?" Oder den anderen Fall "openSuSE-Quellen müssen irgendwie unsicher sein, weil es im fertigen Produkt AppArmor verwendet?"
... glaub ich beides nicht ... ;)
Was sagt denn Ubuntu? AFAIK benutzen die doch auch AppArmor (http://wiki.ubuntuusers.de/AppArmor). Werner -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am 11.03.2014 11:07, schrieb T. Ermlich:
Hi,
Gesendet: Dienstag, 11. MÀrz 2014 um 10:16 Uhr Von: "Alex Winzer" <alex.e-mail@gmx.de>
Hallo,
On 11.03.2014 07:52, T. Ermlich wrote:
Gesendet: Dienstag, 11. MÀrz 2014 um 06:47 Uhr Von: "Kyek, Andreas, Vodafone DE" <A.Kyek@vodafone.com>
T. Ermlich wrote: [...]> Aber auch diese rein persönlichen Informationen werden doch wohl zentral zusammengestellt, um dann ggf. false-positive-Blockierungen in zukÌnftigen Versionen zu beheben ... oder werkelt de facto tatsÀchlich jeder AppArmor-Nutzer allein fÌr sich? Ich denke & hoffe das nicht ...
das kommt auf die Rückmeldungen an. Wenn jeder seine "notwendigen Änderungen" als Bugreport irgendo anhängt können die Entwickler so etwas nachpflegen, kommen keine Rückmeldung scheint doch alles in Ordnung.
Dass Probleme vor allem mit Samba bestehen ist nicht neu. Und wenn man weiÃ, wie man bestimmte Daemons in den Beschwerde-Modus setzt, mit aa-logprof umgehen muss und - falls kosmetisch erforderlich - die Profile von Hand nacharbeiten kann, hat man eigentlich alle Probleme im Handumdrehen gelöst. Ich selbst habe immer erstmal AppArmor im Verdacht, wenn irgendwas mit Samba nicht geht.
Es geht mir ja nicht darum AppArmor in Frage zu stellen! [...]
Wir selbst nutzen seit 11.3 (?) kein AppArmor mehr, da es uns damals zu viele Probleme bereitet hat.
Das wÌrde ich Ìberdenken. Es sei denn, Du lÀsst an Deine Rechner nur (Wasser und) CD(s) [1].
Was will man dann anderen Distributionen sagen? "Ihr seit unsicher weil ihr kein AppArmor imtegriert habt?" Oder den anderen Fall "openSuSE-Quellen mÃŒssen irgendwie unsicher sein, weil es im fertigen Produkt AppArmor verwendet?"
... glaub ich beides nicht ... ;)
GruÃ, Alex
[1] Kleiner Gag, fÃŒr all die, welche die Werbung noch kennen :-)
lach ... ;)
Ich frag' mich noch bis heute was so eine CD im Gesicht bewirken soll(?)
Gruà Torsten
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (7)
-
Alex Winzer -
Johannes Kapune -
Kyek, Andreas, Vodafone DE -
Mathias Homann -
T. Ermlich -
T. Ermlich
-
Werner Flamme