muellmichvoll
Hallo!
Ich habe mal eine Frage zu apparmor. Ich habe es über das AUR installiert bzw. mir das aktuelle Tar File (2.8.1-2) von dort heruntergeladen und mit makepkg installiert. Soweit lief auch alles eigentlich sauber durch. Dann habe ich als Kernelparameter ebenfalls noch "apparmor=1 security=apparmor" eingefügt und neu gestartet.
Jetzt habe ich aber das Problem, immer dann wenn ich aa-status abrufe (egal ob mittels sudo oder direkt als Root), bekomme ich immer folgende Meldung:
apparmor module is loaded.
You do not have enough privilege to read the profile set.
Kennt das jemand oder weiß jemand das Problem? Ich habe soweit bei google nur ältere Einträge von Ubuntu gelesen mit einem Vermerk das dort wohl noch ein alter Kompatibilitätslayer (?) verwendet wurde. Aber das war alles so bei Ubuntu 11.10. Also auch nicht mehr unbedingt Tauffrisch und soweit ich weiß läuft es da ja mittlerweile auch wieder. Bei AUR selbst steht leider dazu kein hinweis...
Grüße!
BlauBeer
kann dir leider nicht helfen, aber ich kann dir tomoyo empfehlen, damit kannst du imho auch das machen was du mit AppArmor machen willst
da tomoyo auch eine "Lern-Phase" (hat AppArmor so etwas?) hat kannst du die Programme einfach ein paar Tage lang überwachen und dann die Liste an Zugriffen die protokolliert wurde verallgemeinern und als harte Regeln festlegen
muellmichvoll
Hey!
Vielen Dank für die Antwort. Bisher scheint mir da niemand so ganz helfen zu können. Habs in einem anderen Forum auch gepostet aber auch da ist's recht ruhig;)
Ich hab apparmor jetzt mal runter geworfen und probier mal tomoyo aus. Hatte davon schon mal was gelesen aber bisher noch nicht weiter rumgespielt.
Mal schauen. Ein Lernmodus gibt's übrigens nicht bei Apparmor, nur vorgefertigte Profile wie bei tomoyo auch. Alles andere muss man dann händisch machen. Und wie ich grade in dem Wiki gelesen habe ist tomoyo auch Systemweit (?) Apparmor nicht. Wäre ja eigentlich noch besser!
Also danke zumindest soweit. Ich werd mich damit mal auseinander setzen!
Achja: Kann man bei tomoyo auch irgendwie den Status sehen ob es läuft und in welchem Modus oder nur durch die configs?
BlauBeer
ob tomoyo läuft kannst du zB daran sehen, wenn du "tomoyo-auditd" ausführst, wenn ein Fehler kommt, dann läuft es wohl nicht 🙂
ich benutze tomoyo eigentlich so:
1) einen Eintrag ala "<kernel> initialize_domain /pfad/zu/dubiosem/programm from any" in exception_policy.conf erstellen
2) das Programm überwachen:
"<kernel> /pfad/zu/dubiosem/programm
use_profile 1"
in domain_policy.conf
3) bei jedem (System-)Start tomoyo-auditd starten (dann werden log Dateien in /var/log/tomoyo/) angelgegt
4) die man dann zB mit schön sortieren&grob vereinfachen kann:
grep -v "#" /var/log/tomoyo/reject_00X.log | tomoyo-patternize | tomoyo-sortpolicy
5) dann die neuen Regeln weiter vereinfachen und in domain_policy.conf eintragen