Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2022-12-28 17:31:32

  wiarus - Użytkownik

wiarus
Użytkownik
Zarejestrowany: 2021-07-28

[ROZW.] AppArmor; profile, logi, wpisy dot. '/etc/ld.so.preload'.

Witam.

Od jakiegoś czasu, zauważyłem w logach systemowych wpisy 'DENIED' dotyczące /etc/ld.so.preload.
Ten plik/reguła znajduje się w abstractions/base i wygląda na to, że wpisy w logach związane są z profilami
w których nie ma tej abstrakcji.

Dodanie jej odpada, tym bardziej z powodu jednej reguły. (Po prostu, staram się tworzyć profile tylko z wymaganymi
regułami a  abstractions/base zawiera ich wiele, co nie do końca pasuje do tego podejścia).

Wszystkie aplikacje odnośnie których pojawiły się te wpisy, działają normalnie
(np. Firefox, NetworkManager, Xorg)

Czy w związku z tym, dodać odpowiednią regułę do profili, które według logów, potrzebują
tego dostępu i to pomimo tego, że działają bez tej reguły?

Dzięki i sorry za tak naiwne pytanie.

EDYCJA: wspomniane logi, nie pojawiły się od razu po utworzeniu profilów. Tak naprawdę, minęło wiele miesięcy zanim w logach systemowych odnotowano wpisy zw. z /etc/ld.so.preload.

Ostatnio edytowany przez wiarus (2023-11-23 15:44:51)

Offline

 

#2  2022-12-28 18:47:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: [ROZW.] AppArmor; profile, logi, wpisy dot. '/etc/ld.so.preload'.

abstractions/base powinna być co do zasady na początku każdego profilu, unikniesz wtedy masy komunikatów DENIED bez żadnego istotnego ryzyka dla systemu.
To najbardziej podstawowy zestaw bibliotek systemowych, bez których nie ruszy praktycznie żadna chroniona aplikacja.

Ile do tego konfigu nie dopisałeś pierdyliona własnych reguł, to nie powinno być żadnego problemu.

Jak potrzebujesz dodać jakieś uprawnienia do kilku profilów równocześnie, to raczej twórz własne konfigi abstractions,
a nie modyfikuj tych, które są domyślne, bo możesz potem mieć jazdy z aktualizacją appamor-profiles.

Pozdro


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2022-12-29 08:22:43

  wiarus - Użytkownik

wiarus
Użytkownik
Zarejestrowany: 2021-07-28

Re: [ROZW.] AppArmor; profile, logi, wpisy dot. '/etc/ld.so.preload'.

Cześć Jacekalex.

Dzięki za odpowiedź. Wiem, że abstractions/base powinno być na początku profilu, tym bardziej że polecenie aa-genprof(8)
automatycznie dodaje tę regułę.

Jeżeli mam więcej czasu, żeby przysiąść nad profilem, to dodanie potrzebnych reguł, związanych np. z bibliotekami z
'/{usr/,}lib/@{multiarch}/' nie jest żadnym problemem. W przeciwnym razie, widząc większą ilość wpisów 'DENIED', po prostu stosuję regułę globalną - i tu znowu posłużę się w/w katalogiem: '/{usr/,}lib/@{multiarch}/**' itd.

Jacekalex a co sądzisz nt. /etc/ld.so.preload? Czy według Ciebie należy dodać odpowiednią regułę do plików z profilami (na tę chwilę
wpisy w logach dotyczą czterech, pięciu aplikacji) skoro wszystko zdaje się działać normalnie?

Pozdrawiam.

EDYCJA: formatowanie.

Ostatnio edytowany przez wiarus (2022-12-29 08:26:52)

Offline

 

#4  2022-12-29 16:23:52

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: [ROZW.] AppArmor; profile, logi, wpisy dot. '/etc/ld.so.preload'.

Do base są dodawane reguły, które są bezpieczne i których brak warunkuje błędne działanie systemu. Ja u siebie z abstraction/base mam tylko jeden problem, tj. te reguły od home tj. te poniższe, które musiałem wykomentać:

Kod:

  # encrypted ~/.Private and old-style encrypted $HOME
  #owner @{HOME}/.Private/ r,
  #owner @{HOME}/.Private/** mrixwlk,
  # new-style encrypted $HOME
  #owner @{HOMEDIRS}/.ecryptfs/*/.Private/ r,
  #owner @{HOMEDIRS}/.ecryptfs/*/.Private/** mrixwlk,

Nie wiem czemu takie coś w tej abstrakcji jest ale to tworzy niesamowitą dziurę w bezpieczeństwie. Przynajmniej ja to tak widzę. xD Reszta wpisów jest do zaakceptowania i powinna być dostępna dla aplikacji by się z nimi co chwila nie bawić, jak coś w nowszej wersji różnych bibliotek się pozmienia...

Offline

 

#5  2022-12-29 16:53:34

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: [ROZW.] AppArmor; profile, logi, wpisy dot. '/etc/ld.so.preload'.

/etc/ld.so.preload  możesz udostępnić wszystkim profilom w abstractions/base, nie ma tam nic tajnego ani specjalnie groźnego.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2023-01-11 18:18:19

  wiarus - Użytkownik

wiarus
Użytkownik
Zarejestrowany: 2021-07-28

Re: [ROZW.] AppArmor; profile, logi, wpisy dot. '/etc/ld.so.preload'.

Cześć.

Sorry za taką zwłokę z odpowiedzią. Morfik mam dokładnie to samo jeśli chodzi o te reguły,
które wspomniałeś. Jeżeli jakaś aplikacja potrzebuje dostępu do któregoś z tych folderów, to dodaję ją ale tylko z prawami, które
pojawiły się w logach, np. 'r,' ale z pewnością nie 'mrixwlk,'.

Z drugiej strony, z tego co pamiętam, na liście mailingowej dla AppArmor był ten temat poruszony przez pewną osobę i chyba
Seth Arnold odpowiedział, że te reguły powinny być stosowane w profilach(?) Ale mogę się mylić bo to dawno było.

Jacekalex - ok, dodam te reguły do profilów aplikacji, które tego wymagają. Ale nie dostrzegam problemów z działaniem aplikacji
odnośnie których w logach pojawiają się wpisy 'DENIED'. Przynajmniej, nie ma żadnych zewnętrznych oznak. W samych logach zresztą też.

Dzięki serdeczne za odpowiedzi i przepraszam za długi czas bez odpowiedzi.

Ostatnio edytowany przez wiarus (2023-01-11 18:19:56)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)