Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundację Dzieciom „Zdążyć z Pomocą”.
Więcej informacji na dug.net.pl/pomagamy/.

#1 2015-11-12 15:54:18

bass
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2013-05-21

Apparmor+kernel aptosid

Witam.
Od kilku dni szukam i znaleźć nie mogę:(
Mam pytanie. Jak załadować apparmor do krenela aptosid ?!
Na kernelu dystrybucyjnym apparmor dziala, na kernelu aptosida nie .

Kod:

uname -a
Linux darek 4.2.0-1-686-pae #1 SMP Debian 4.2.5-1 (2015-10-27) i686 GNU/Linux

Kod:

sudo aa-status
apparmor module is loaded.
43 profiles are loaded.
8 profiles are in enforce mode.
   /usr/lib/chromium-browser/chromium-browser//browser_java
   /usr/lib/chromium-browser/chromium-browser//browser_openjdk
   /usr/lib/chromium-browser/chromium-browser//sanitized_helper
   /usr/lib/cups/backend/cups-pdf
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/named
35 profiles are in complain mode.
   /usr/lib/chromium-browser/chromium-browser
   /usr/lib/chromium-browser/chromium-browser//chromium_browser_sandbox
   /usr/lib/chromium-browser/chromium-browser//lsb_release
   /usr/lib/chromium-browser/chromium-browser//xdgsettings
   /usr/lib/dovecot/anvil
   /usr/lib/dovecot/auth
   /usr/lib/dovecot/config
   /usr/lib/dovecot/deliver
   /usr/lib/dovecot/dict
   /usr/lib/dovecot/dovecot-auth
   /usr/lib/dovecot/dovecot-lda
   /usr/lib/dovecot/imap
   /usr/lib/dovecot/imap-login
   /usr/lib/dovecot/lmtp
   /usr/lib/dovecot/log
   /usr/lib/dovecot/managesieve
   /usr/lib/dovecot/managesieve-login
   /usr/lib/dovecot/pop3
   /usr/lib/dovecot/pop3-login
   /usr/lib/dovecot/ssl-params
   /usr/sbin/avahi-daemon
   /usr/sbin/dnsmasq
   /usr/sbin/dovecot
   /usr/sbin/identd
   /usr/sbin/mdnsd
   /usr/sbin/nmbd
   /usr/sbin/nscd
   /usr/sbin/smbd
   /usr/sbin/smbldap-useradd
   /usr/sbin/smbldap-useradd///etc/init.d/nscd
   /usr/{sbin/traceroute,bin/traceroute.db}
   /{usr/,}bin/ping
   klogd
   syslog-ng
   syslogd
4 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/cups-browsed (609) 
   /usr/sbin/cupsd (530) 
2 processes are in complain mode.
   /usr/sbin/avahi-daemon (544) 
   /usr/sbin/avahi-daemon (566) 
0 processes are unconfined but have a profile defined.

Kod:

uname -a
Linux darek 4.3.0-0.slh.1-aptosid-686 #1 SMP PREEMPT aptosid 4.3-1 (2015-11-02) i686 GNU/Linux

Kod:

sudo aa-status
apparmor module is not loaded.

4.13.0-3.slh.1-aptosid-686 #1 SMP PREEMPT aptosid 4.13-7 (2017-09-24) i686 GNU/Linux

Offline

 

#2 2015-11-12 16:15:36

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Apparmor+kernel aptosid

Kod:

uname -a
Linux debian 4.3.0-0.slh.1-aptosid-amd64 #1 SMP PREEMPT aptosid 4.3-1 (2015-11-02) x86_64 GNU/Linux
zgrep APPARMOR /proc/config.gz
# CONFIG_SECURITY_APPARMOR is not set

Ja używam firejail.
Wygodniejsze w użyciu i bardziej przejrzyste standardowe profile, które łatwo modyfikować:

Kod:

cat /etc/firejail/firefox.profile
# Firejail profile for Mozilla Firefox (Iceweasel in Debian)
noblacklist ${HOME}/.mozilla
include /etc/firejail/disable-mgmt.inc
include /etc/firejail/disable-secret.inc
include /etc/firejail/disable-common.inc
include /etc/firejail/disable-devel.inc
caps.drop all
seccomp
protocol unix,inet,inet6
netfilter
noroot
whitelist ~/.mozilla
whitelist ~/Downloads
whitelist ~/dwhelper
whitelist ~/.zotero
whitelist ~/.lastpass
whitelist ~/.gtkrc-2.0
whitelist ~/.vimperatorrc
whitelist ~/.vimperator
whitelist ~/.pentadactylrc
whitelist ~/.pentadactyl

# common
whitelist ~/.fonts
whitelist ~/.fonts.d
whitelist ~/.fontconfig
whitelist ~/.fonts.conf
whitelist ~/.fonts.conf.d

Offline

 

#3 2015-11-12 16:22:10

bass
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2013-05-21

Re: Apparmor+kernel aptosid

:):)
Dzieki .


4.13.0-3.slh.1-aptosid-686 #1 SMP PREEMPT aptosid 4.13-7 (2017-09-24) i686 GNU/Linux

Offline

 

#4 2015-11-12 19:38:38

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apparmor+kernel aptosid

yossarian napisał(-a):

Kod:

uname -a
Linux debian 4.3.0-0.slh.1-aptosid-amd64 #1 SMP PREEMPT aptosid 4.3-1 (2015-11-02) x86_64 GNU/Linux
zgrep APPARMOR /proc/config.gz
# CONFIG_SECURITY_APPARMOR is not set

Ja używam firejail.
Wygodniejsze w użyciu i bardziej przejrzyste standardowe profile, które łatwo modyfikować:
.....

W zasadzie tak, należy jednak pamiętać, ze firejail to taka proteza działająca w przestrzeni użyszkodnika, dużo słabsza i bardziej narażona na awarię, niż zabezpieczenie na poziomie kernela.

W Apparmorze można mp zrobić tak:

Kod:

root ~> echo 'Y' >   /sys/module/apparmor/parameters/lock_policy 

root ~> aa-disable firefox
Disabling /usr/lib64/firefox/firefox.
/sbin/apparmor_parser: usuni?cie "/usr/lib64/firefox/firefox" nie powiod?o si?.Permission denied; attempted to load a profile while confined?

i bez reboota nie da się ruszyć polityki ani zmienić nawet kropki na przecinek w załadowanym profilu.

Userspace takich możliwości nie ma i raczej prędko się ich nie dorobi.

Ja bym radził tymczasowo jajo z Debiana Sida, a przy okazji pospamować troszkę na liście mailingowej Aptosida, żeby przestali wyłączać Apparmora.

Jak się to dobrze uzasadni, to powinno dać radę, a te dodatkowe kilkadziesiąt kB w wielkości jajka ich nie zbawi.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-11-12 19:39:59)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5 2015-11-12 20:05:44

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Apparmor+kernel aptosid

Na dobrą sprawę lepiej by było pospamować developerów Debiana by profil apparmora do iceweasela zrobili porządny, ew. podrzucić im coś przetestowanego z prośbą o dołącznie do paczki.

Ja osobiście po kilku godzinach zabaw i poprawiania profilu dalej nie byłem w stanie wyłapać wszystkiego co byłoby mu niezbędne i o ile wygenerowanie polityki dla usług stricte serwerowych nie jest (zazwyczaj) jakieś specjalnie czasochłonne czy problematyczne o tyle przy aplikacjach desktopowo-multimedialnych wysiadam.


Skoro już o bezpieczeństwie na poziomie jądra mowa... ktoś ma może jakieś info czy ktoś gdzieś redystrybuuje grsecowe łatki na jajka po tragicznym dla szarego zjadacza chleba odcięciu przez ekipę grsecurity dostępu od stabilnych łatek?

Offline

 

#6 2015-11-12 20:31:35

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apparmor+kernel aptosid

W Grsec praktycznie nie ma różnicy między łatkami stabilnymi i testowymi, błędy pojawiają się w jednych i drugich (większość krytycznych  błędów to interakcje ze sprzętem lub zbyt nowym albo niedopasowanym kompilatorem, względnie wieczne problemy z Xenem, Vboxem, czy rzeczami rzadko spotykanymi na serwerach), zazwyczaj są łatane w ciągu max 2 dni, także jak masz kilka jajek, w tym jedno sprawdzone, to i na serwerze nie będzie problemu.

Ja miałem 2 duże błędy ze sterownikami, raz cx88-dvb, raz z pppoe,
i z żadnym nie czekałem dłużej niż 36 godzin na poprawioną łatkę albo instrukcję, co zrobić, ze dwa razy łatka powodowała kernel-panic, ale zawsze w kilka godzin była następna,  poprawiona. 
Razem na desktopie z Nividią (binarny sterownik) u mnie wychodzi mniej więcej jeden poważny błąd na rok.

Oczywiście w Gentusiu, który dużo lepiej się zna z Grsec niż Debian czy CentOS.

Jak chcesz Grsec  z dodatkowym supportem teamu gentoo-hardened,
to polecam gentusiowe sys-kernel/hardened-sources.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-11-12 20:39:13)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7 2015-11-12 20:35:13

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Apparmor+kernel aptosid

Jacekalex napisał(-a):

W zasadzie tak, należy jednak pamiętać, ze firejail to taka proteza działająca w przestrzeni użyszkodnika, dużo słabsza i bardziej narażona na awarię, niż zabezpieczenie na poziomie kernela.

To nie żadna proteza bo to narzędzie korzystające wyłącznie z zabezpieczeń jądra (seccomp-bpf, namespaces, capabilities itp.). Nigdy nie słyszałem żeby były z nimi jakiekolwiek problemy bezpieczeństwa.

Oczywiście nic nie stoi na przeszkodzie by korzystać z firejaila w środowisku AppArmora czy SELinuksa i innych narzędzi.

Offline

 

#8 2015-11-12 20:46:40

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apparmor+kernel aptosid

@up

Oczywiście, że z zabezpieczeń kernela, tylko tylko że z tych zabezpieczęń nie korzysta aplikacja chroniona, tylko warstwa pośrednicząca, która też czasami może zawieść, co nie oznacza, ze zawiodła wcześniej.

Osobiście wolę gwarancję Developerów kernela rozumianą bezpośrednio,
a nie przez jakieś prezerwatywy. :D

Z resztą jak zajrzałem na jakąś stronę about:cośtam (zapomniałem, którą), to Firefox  (kompilowany w domu) twierdził, że niby korzysta z seccomp, co mnie o tyle zdziwiło,że nie wymaga tej biblioteki.
Wersja 42.0 nie używa tego cudu w tej chwili:

Kod:

grep Seccomp /proc/`pidof firefox`/status
Seccomp:    0

Jeśli do kernela wejdzie Capsicum, to pewnie też FF będzie jednym z pierwszych programów, które z tego korzystają.

Pozdro

Ostatnio edytowany przez Jacekalex (2015-11-12 20:49:54)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9 2015-11-12 20:57:46

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Apparmor+kernel aptosid

Bo to nie jest narzędzie działające samo w sobie, a tylko cześć zabezpieczeń do wykorzystania w utworzonej piaskownicy:

System call filtering isn't a sandbox. It provides a clearly defined
mechanism for minimizing the exposed kernel surface. It is meant to be
a tool for sandbox developers to use.
  Beyond that, policy for logical
behavior and information flow should be managed with a combination of
other system hardening techniques and, potentially, an LSM of your
choosing.

https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt

Offline

 

#10 2015-11-12 21:28:19

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Apparmor+kernel aptosid

Na dobrą sprawę lepiej by było pospamować developerów Debiana by profil apparmora do iceweasela zrobili porządny, ew. podrzucić im coś przetestowanego z prośbą o dołącznie do paczki.

Ja osobiście po kilku godzinach zabaw i poprawiania profilu dalej nie byłem w stanie wyłapać wszystkiego co byłoby mu niezbędne i o ile wygenerowanie polityki dla usług stricte serwerowych nie jest (zazwyczaj) jakieś specjalnie czasochłonne czy problematyczne o tyle przy aplikacjach desktopowo-multimedialnych wysiadam.

Dlaczego? Przecie masz narzędzie aa-genprof co ci wypisze wszystko bez problemów. Odpalasz aplikacje i łazisz po stronach, menu, włączasz wtyczki plugny, itp — wszystko co robisz na codzień. Po tym jak skończysz to ci zostanie zwrócony szereg wpisów i określasz czy zezwalasz czy bronisz dostępu i z tego automatycznie jest generowany profil, który można przejrzeć i pokasować/zmienić zbędne rzeczy. Ja profile do ff napisałem w 10min, z czego 8 biegałem po sieci i opcjach. xD

Z resztą jak zajrzałem na jakąś stronę about:cośtam (zapomniałem, którą),

Na sklerozę jest about:about xD


Morfitronik — blog o linux'ach, głównie Debian, OpenWRT/LEDE i Android

Offline

 

#11 2015-11-12 21:39:12

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apparmor+kernel aptosid

Na sklerozę jest about:about xD

To było na:
about:support na dole strony.

Dzięki ;)

Ostatnio edytowany przez Jacekalex (2015-11-12 21:47:47)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12 2015-11-12 21:56:06

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Apparmor+kernel aptosid

morfik napisał(-a):

Na dobrą sprawę lepiej by było pospamować developerów Debiana by profil apparmora do iceweasela zrobili porządny, ew. podrzucić im coś przetestowanego z prośbą o dołącznie do paczki.

Ja osobiście po kilku godzinach zabaw i poprawiania profilu dalej nie byłem w stanie wyłapać wszystkiego co byłoby mu niezbędne i o ile wygenerowanie polityki dla usług stricte serwerowych nie jest (zazwyczaj) jakieś specjalnie czasochłonne czy problematyczne o tyle przy aplikacjach desktopowo-multimedialnych wysiadam.

Dlaczego? Przecie masz narzędzie aa-genprof co ci wypisze wszystko bez problemów. Odpalasz aplikacje i łazisz po stronach, menu, włączasz wtyczki plugny, itp — wszystko co robisz na codzień. Po tym jak skończysz to ci zostanie zwrócony szereg wpisów i określasz czy zezwalasz czy bronisz dostępu i z tego automatycznie jest generowany profil, który można przejrzeć i pokasować/zmienić zbędne rzeczy. Ja profile do ff napisałem w 10min, z czego 8 biegałem po sieci i opcjach. xD

aa-genprof to u mnie podstawa, co nie zmienia faktu że dostaję oczopląsu od wszystkich odwołań do pamięci współdzielonej, Xorga, pulse, etc. etc. Zazwyczaj staram się robić minimum z minimum, co zazwyczaj kończy się tym że dostaję przeglądarkę wykastrowaną z połowy bazowych funkcjonalności xD
Jeżeli masz jakiś gotowy to jeżeli to nie problem podziel się, będę zobowiązany za możliwość użycia go do poprawienia tego co udało mi się samemu nadłubać. ;) I zapewne nie tylko ja.

Ostatnio edytowany przez enether (2015-11-12 21:57:38)

Offline

 

#13 2015-11-12 22:08:41

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Apparmor+kernel aptosid

Są na gicie. Generalnie mam dwa — różna polityka. Wydają się działać bez narzekania.

Ostatnio edytowany przez morfik (2015-11-12 22:09:11)


Morfitronik — blog o linux'ach, głównie Debian, OpenWRT/LEDE i Android

Offline

 

#14 2015-11-12 22:10:13

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Apparmor+kernel aptosid

Dziękóweczka :)

Offline

 

#15 2015-11-12 22:18:35

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Apparmor+kernel aptosid

Wracając do obsługi Seccomp w Firefoksie:

Seccomp-BPF (System Call Filtering)    true
Media Plugin Sandboxing    true

Uruchamiany bezpośrednio:

Kod:

grep Seccomp /proc/$(pidof iceweasel)/status
Seccomp:        0

Uruchamiany przez firejaila:

Kod:

grep Seccomp /proc/$(pidof iceweasel)/status
Seccomp:        2

Więc działa zgodnie z zamysłem deweloperów.

Offline

 

#16 2015-11-13 05:03:17

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apparmor+kernel aptosid

morfik napisał(-a):

Są na gicie. Generalnie mam dwa — różna polityka. Wydają się działać bez narzekania.

Kod:

    audit deny @{HOME}/.ssh/** mrwkl,

Nie lepiej zrobić/użyć osobny abstraction/private-files czy coś podobnego?

Całkiem sporo takich wpisów trzeba robić dla różnych programów, klepanie tego w każdym profilu z osobna jest niezbyt ekologiczne.

Ostatnio edytowany przez Jacekalex (2015-11-13 05:07:20)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#17 2015-11-13 08:13:01

gnejusz pompejusz
Użytkownik
Zarejestrowany: 2005-09-14
Serwis

Re: Apparmor+kernel aptosid

morfik napisał(-a):

Są na gicie. Generalnie mam dwa — różna polityka. Wydają się działać bez narzekania.

A pójdzie to z iceweasel?


A poza tym uważam, że Debian jest najlepszy.
ludolfina.pl

Offline

 

#18 2015-11-13 10:01:04

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Apparmor+kernel aptosid

Nie lepiej zrobić/użyć osobny abstraction/private-files czy coś podobnego?

Jest dodany w sekcji z #include . Jest też inny plik abstractions/private-files-strict i tam jest już uwzględniony katalog mozilli w katalogu użytkownika. Ja generalnie wziąłem sobie z tego private-files-strict wszystkie wpisy i dodałem do profilu ff, wyłączając oczywiście tylko katalog mozilli.

A pójdzie to z iceweasel?

Powinno, tylko trzeba dostosować sobie ścieżki.


Morfitronik — blog o linux'ach, głównie Debian, OpenWRT/LEDE i Android

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)