Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam.
Od kilku dni szukam i znaleźć nie mogę:(
Mam pytanie. Jak załadować apparmor do krenela aptosid ?!
Na kernelu dystrybucyjnym apparmor dziala, na kernelu aptosida nie .
uname -a Linux darek 4.2.0-1-686-pae #1 SMP Debian 4.2.5-1 (2015-10-27) i686 GNU/Linux
sudo aa-status apparmor module is loaded. 43 profiles are loaded. 8 profiles are in enforce mode. /usr/lib/chromium-browser/chromium-browser//browser_java /usr/lib/chromium-browser/chromium-browser//browser_openjdk /usr/lib/chromium-browser/chromium-browser//sanitized_helper /usr/lib/cups/backend/cups-pdf /usr/sbin/cups-browsed /usr/sbin/cupsd /usr/sbin/cupsd//third_party /usr/sbin/named 35 profiles are in complain mode. /usr/lib/chromium-browser/chromium-browser /usr/lib/chromium-browser/chromium-browser//chromium_browser_sandbox /usr/lib/chromium-browser/chromium-browser//lsb_release /usr/lib/chromium-browser/chromium-browser//xdgsettings /usr/lib/dovecot/anvil /usr/lib/dovecot/auth /usr/lib/dovecot/config /usr/lib/dovecot/deliver /usr/lib/dovecot/dict /usr/lib/dovecot/dovecot-auth /usr/lib/dovecot/dovecot-lda /usr/lib/dovecot/imap /usr/lib/dovecot/imap-login /usr/lib/dovecot/lmtp /usr/lib/dovecot/log /usr/lib/dovecot/managesieve /usr/lib/dovecot/managesieve-login /usr/lib/dovecot/pop3 /usr/lib/dovecot/pop3-login /usr/lib/dovecot/ssl-params /usr/sbin/avahi-daemon /usr/sbin/dnsmasq /usr/sbin/dovecot /usr/sbin/identd /usr/sbin/mdnsd /usr/sbin/nmbd /usr/sbin/nscd /usr/sbin/smbd /usr/sbin/smbldap-useradd /usr/sbin/smbldap-useradd///etc/init.d/nscd /usr/{sbin/traceroute,bin/traceroute.db} /{usr/,}bin/ping klogd syslog-ng syslogd 4 processes have profiles defined. 2 processes are in enforce mode. /usr/sbin/cups-browsed (609) /usr/sbin/cupsd (530) 2 processes are in complain mode. /usr/sbin/avahi-daemon (544) /usr/sbin/avahi-daemon (566) 0 processes are unconfined but have a profile defined.
uname -a Linux darek 4.3.0-0.slh.1-aptosid-686 #1 SMP PREEMPT aptosid 4.3-1 (2015-11-02) i686 GNU/Linux
sudo aa-status apparmor module is not loaded.
Offline
Kod:
uname -a Linux debian 4.3.0-0.slh.1-aptosid-amd64 #1 SMP PREEMPT aptosid 4.3-1 (2015-11-02) x86_64 GNU/Linux zgrep APPARMOR /proc/config.gz # CONFIG_SECURITY_APPARMOR is not set
Ja używam firejail.
Wygodniejsze w użyciu i bardziej przejrzyste standardowe profile, które łatwo modyfikować:
Kod:
cat /etc/firejail/firefox.profile # Firejail profile for Mozilla Firefox (Iceweasel in Debian) noblacklist ${HOME}/.mozilla include /etc/firejail/disable-mgmt.inc include /etc/firejail/disable-secret.inc include /etc/firejail/disable-common.inc include /etc/firejail/disable-devel.inc caps.drop all seccomp protocol unix,inet,inet6 netfilter noroot whitelist ~/.mozilla whitelist ~/Downloads whitelist ~/dwhelper whitelist ~/.zotero whitelist ~/.lastpass whitelist ~/.gtkrc-2.0 whitelist ~/.vimperatorrc whitelist ~/.vimperator whitelist ~/.pentadactylrc whitelist ~/.pentadactyl # common whitelist ~/.fonts whitelist ~/.fonts.d whitelist ~/.fontconfig whitelist ~/.fonts.conf whitelist ~/.fonts.conf.d
Offline
:):)
Dzieki .
Offline
yossarian napisał(-a):
Kod:
uname -a Linux debian 4.3.0-0.slh.1-aptosid-amd64 #1 SMP PREEMPT aptosid 4.3-1 (2015-11-02) x86_64 GNU/Linux zgrep APPARMOR /proc/config.gz # CONFIG_SECURITY_APPARMOR is not setJa używam firejail.
Wygodniejsze w użyciu i bardziej przejrzyste standardowe profile, które łatwo modyfikować:
.....
W zasadzie tak, należy jednak pamiętać, ze firejail to taka proteza działająca w przestrzeni użyszkodnika, dużo słabsza i bardziej narażona na awarię, niż zabezpieczenie na poziomie kernela.
W Apparmorze można mp zrobić tak:
root ~> echo 'Y' > /sys/module/apparmor/parameters/lock_policy root ~> aa-disable firefox Disabling /usr/lib64/firefox/firefox. /sbin/apparmor_parser: usuni?cie "/usr/lib64/firefox/firefox" nie powiod?o si?.Permission denied; attempted to load a profile while confined?
i bez reboota nie da się ruszyć polityki ani zmienić nawet kropki na przecinek w załadowanym profilu.
Userspace takich możliwości nie ma i raczej prędko się ich nie dorobi.
Ja bym radził tymczasowo jajo z Debiana Sida, a przy okazji pospamować troszkę na liście mailingowej Aptosida, żeby przestali wyłączać Apparmora.
Jak się to dobrze uzasadni, to powinno dać radę, a te dodatkowe kilkadziesiąt kB w wielkości jajka ich nie zbawi.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2015-11-12 19:39:59)
Offline
Na dobrą sprawę lepiej by było pospamować developerów Debiana by profil apparmora do iceweasela zrobili porządny, ew. podrzucić im coś przetestowanego z prośbą o dołącznie do paczki.
Ja osobiście po kilku godzinach zabaw i poprawiania profilu dalej nie byłem w stanie wyłapać wszystkiego co byłoby mu niezbędne i o ile wygenerowanie polityki dla usług stricte serwerowych nie jest (zazwyczaj) jakieś specjalnie czasochłonne czy problematyczne o tyle przy aplikacjach desktopowo-multimedialnych wysiadam.
Skoro już o bezpieczeństwie na poziomie jądra mowa... ktoś ma może jakieś info czy ktoś gdzieś redystrybuuje grsecowe łatki na jajka po tragicznym dla szarego zjadacza chleba odcięciu przez ekipę grsecurity dostępu od stabilnych łatek?
Offline
W Grsec praktycznie nie ma różnicy między łatkami stabilnymi i testowymi, błędy pojawiają się w jednych i drugich (większość krytycznych błędów to interakcje ze sprzętem lub zbyt nowym albo niedopasowanym kompilatorem, względnie wieczne problemy z Xenem, Vboxem, czy rzeczami rzadko spotykanymi na serwerach), zazwyczaj są łatane w ciągu max 2 dni, także jak masz kilka jajek, w tym jedno sprawdzone, to i na serwerze nie będzie problemu.
Ja miałem 2 duże błędy ze sterownikami, raz cx88-dvb, raz z pppoe,
i z żadnym nie czekałem dłużej niż 36 godzin na poprawioną łatkę albo instrukcję, co zrobić, ze dwa razy łatka powodowała kernel-panic, ale zawsze w kilka godzin była następna, poprawiona.
Razem na desktopie z Nividią (binarny sterownik) u mnie wychodzi mniej więcej jeden poważny błąd na rok.
Oczywiście w Gentusiu, który dużo lepiej się zna z Grsec niż Debian czy CentOS.
Jak chcesz Grsec z dodatkowym supportem teamu gentoo-hardened,
to polecam gentusiowe sys-kernel/hardened-sources.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2015-11-12 20:39:13)
Offline
Jacekalex napisał(-a):
W zasadzie tak, należy jednak pamiętać, ze firejail to taka proteza działająca w przestrzeni użyszkodnika, dużo słabsza i bardziej narażona na awarię, niż zabezpieczenie na poziomie kernela.
To nie żadna proteza bo to narzędzie korzystające wyłącznie z zabezpieczeń jądra (seccomp-bpf, namespaces, capabilities itp.). Nigdy nie słyszałem żeby były z nimi jakiekolwiek problemy bezpieczeństwa.
Oczywiście nic nie stoi na przeszkodzie by korzystać z firejaila w środowisku AppArmora czy SELinuksa i innych narzędzi.
Offline
@up
Oczywiście, że z zabezpieczeń kernela, tylko tylko że z tych zabezpieczęń nie korzysta aplikacja chroniona, tylko warstwa pośrednicząca, która też czasami może zawieść, co nie oznacza, ze zawiodła wcześniej.
Osobiście wolę gwarancję Developerów kernela rozumianą bezpośrednio,
a nie przez jakieś prezerwatywy. :D
Z resztą jak zajrzałem na jakąś stronę about:cośtam (zapomniałem, którą), to Firefox (kompilowany w domu) twierdził, że niby korzysta z seccomp, co mnie o tyle zdziwiło,że nie wymaga tej biblioteki.
Wersja 42.0 nie używa tego cudu w tej chwili:
grep Seccomp /proc/`pidof firefox`/status Seccomp: 0
Jeśli do kernela wejdzie Capsicum, to pewnie też FF będzie jednym z pierwszych programów, które z tego korzystają.
Pozdro
Ostatnio edytowany przez Jacekalex (2015-11-12 20:49:54)
Offline
Bo to nie jest narzędzie działające samo w sobie, a tylko cześć zabezpieczeń do wykorzystania w utworzonej piaskownicy:
System call filtering isn't a sandbox. It provides a clearly defined
mechanism for minimizing the exposed kernel surface. It is meant to be
a tool for sandbox developers to use. Beyond that, policy for logical
behavior and information flow should be managed with a combination of
other system hardening techniques and, potentially, an LSM of your
choosing.
https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt
Offline
Na dobrą sprawę lepiej by było pospamować developerów Debiana by profil apparmora do iceweasela zrobili porządny, ew. podrzucić im coś przetestowanego z prośbą o dołącznie do paczki.
Ja osobiście po kilku godzinach zabaw i poprawiania profilu dalej nie byłem w stanie wyłapać wszystkiego co byłoby mu niezbędne i o ile wygenerowanie polityki dla usług stricte serwerowych nie jest (zazwyczaj) jakieś specjalnie czasochłonne czy problematyczne o tyle przy aplikacjach desktopowo-multimedialnych wysiadam.
Dlaczego? Przecie masz narzędzie aa-genprof co ci wypisze wszystko bez problemów. Odpalasz aplikacje i łazisz po stronach, menu, włączasz wtyczki plugny, itp — wszystko co robisz na codzień. Po tym jak skończysz to ci zostanie zwrócony szereg wpisów i określasz czy zezwalasz czy bronisz dostępu i z tego automatycznie jest generowany profil, który można przejrzeć i pokasować/zmienić zbędne rzeczy. Ja profile do ff napisałem w 10min, z czego 8 biegałem po sieci i opcjach. xD
Z resztą jak zajrzałem na jakąś stronę about:cośtam (zapomniałem, którą),
Na sklerozę jest about:about xD
Offline
Na sklerozę jest about:about xD
To było na:
about:support na dole strony.
Dzięki ;)
Ostatnio edytowany przez Jacekalex (2015-11-12 21:47:47)
Offline
morfik napisał(-a):
Na dobrą sprawę lepiej by było pospamować developerów Debiana by profil apparmora do iceweasela zrobili porządny, ew. podrzucić im coś przetestowanego z prośbą o dołącznie do paczki.
Ja osobiście po kilku godzinach zabaw i poprawiania profilu dalej nie byłem w stanie wyłapać wszystkiego co byłoby mu niezbędne i o ile wygenerowanie polityki dla usług stricte serwerowych nie jest (zazwyczaj) jakieś specjalnie czasochłonne czy problematyczne o tyle przy aplikacjach desktopowo-multimedialnych wysiadam.Dlaczego? Przecie masz narzędzie aa-genprof co ci wypisze wszystko bez problemów. Odpalasz aplikacje i łazisz po stronach, menu, włączasz wtyczki plugny, itp — wszystko co robisz na codzień. Po tym jak skończysz to ci zostanie zwrócony szereg wpisów i określasz czy zezwalasz czy bronisz dostępu i z tego automatycznie jest generowany profil, który można przejrzeć i pokasować/zmienić zbędne rzeczy. Ja profile do ff napisałem w 10min, z czego 8 biegałem po sieci i opcjach. xD
aa-genprof to u mnie podstawa, co nie zmienia faktu że dostaję oczopląsu od wszystkich odwołań do pamięci współdzielonej, Xorga, pulse, etc. etc. Zazwyczaj staram się robić minimum z minimum, co zazwyczaj kończy się tym że dostaję przeglądarkę wykastrowaną z połowy bazowych funkcjonalności xD
Jeżeli masz jakiś gotowy to jeżeli to nie problem podziel się, będę zobowiązany za możliwość użycia go do poprawienia tego co udało mi się samemu nadłubać. ;) I zapewne nie tylko ja.
Ostatnio edytowany przez enether (2015-11-12 21:57:38)
Offline
Dziękóweczka :)
Offline
Wracając do obsługi Seccomp w Firefoksie:
Seccomp-BPF (System Call Filtering) true
Media Plugin Sandboxing true
Uruchamiany bezpośrednio:
grep Seccomp /proc/$(pidof iceweasel)/status Seccomp: 0
Uruchamiany przez firejaila:
grep Seccomp /proc/$(pidof iceweasel)/status Seccomp: 2
Więc działa zgodnie z zamysłem deweloperów.
Offline
morfik napisał(-a):
Są na gicie. Generalnie mam dwa — różna polityka. Wydają się działać bez narzekania.
audit deny @{HOME}/.ssh/** mrwkl,
Nie lepiej zrobić/użyć osobny abstraction/private-files czy coś podobnego?
Całkiem sporo takich wpisów trzeba robić dla różnych programów, klepanie tego w każdym profilu z osobna jest niezbyt ekologiczne.
Ostatnio edytowany przez Jacekalex (2015-11-13 05:07:20)
Offline
morfik napisał(-a):
Są na gicie. Generalnie mam dwa — różna polityka. Wydają się działać bez narzekania.
A pójdzie to z iceweasel?
Offline
Nie lepiej zrobić/użyć osobny abstraction/private-files czy coś podobnego?
Jest dodany w sekcji z #include . Jest też inny plik abstractions/private-files-strict i tam jest już uwzględniony katalog mozilli w katalogu użytkownika. Ja generalnie wziąłem sobie z tego private-files-strict wszystkie wpisy i dodałem do profilu ff, wyłączając oczywiście tylko katalog mozilli.
A pójdzie to z iceweasel?
Powinno, tylko trzeba dostosować sobie ścieżki.
Offline