ubuntuusers.de

Im siebten Teil der Serie geht es um die Sicherheitssoftware AppArmor.

Mehr Sicherheit durch Beschneidung der Rechte
AppArmor ist ein Sicherheitsframework, welches bis vor kurzem noch von Novell entwickelt wurde und nun in Ubuntu 7.10, mit den zugehörigen Sicherheitstools, Einzug hält. Sinn und Zweck von AppArmor ist es, die Rechte von Anwendungen und der von ihnen gestarteten Prozesse zu beschneiden – im besten Fall ohne dass der Anwender davon etwas bemerkt.
Auf diese Weise lässt sich die Sicherheit des Systems drastisch erhöhen und selbst Zero-Day-Exploits stellen keine große Gefahr mehr dar. Allerdings nur unter der Voraussetzung, dass für das verwundbare Programm ein AppArmor-Profil vorhanden ist und die Rechte dort entsprechend beschnitten wurden. Experimentierfreudige Anwender können natürlich vorhandene Profile erweitern oder neue erstellen, eine gute Anlaufstelle dafür ist das englische Wiki 🇬🇧.

Gutsy Gibbon wird zwar mit aktiviertem AppArmor kommen, allerdings wird nur das Druckertool CUPS im Enforce-Modus (Einschränkung der Rechte) durch AppArmor überwacht.
Weitere Profile namens "apparmor-profiles" können aber nachträglich installiert werden, jedoch sind diese noch im Beta-Stadium und benutzen deswegen den so genannten Complain-Modus (Beschwerdemodus) von AppArmor. Im Beschwerdemodus meldet AppArmor lediglich Überschreitungen der Rechte, verhindert sie aber nicht.

In Ubuntu 8.04 sollen weitere Profile hinzugefügt werden, die standardmäßig aktiviert sind und den Enforce-Modus benutzen.

Gutsy Gibbon-Neuerungen im Detail: Teil 7

Und wie sieht das mit der weiter entwicklung aus von AppAmor? wird ja net mehr von Novell bezahlt soweit ich das mit bekommen habe.

Aber nu wird anscheinend auch bei Linux auf eine vorhandene Firewall gesetzt.

Gaara hat geschrieben:

Aber nu wird anscheinend auch bei Linux auf eine vorhandene Firewall gesetzt.

In den Bereichen, für die AppArmor zuständig ist, hat es mit einer (personal) "Firewall" ungefähr so viel zu tun wie ein Türschloß mit einem "bitte nicht stören" Schild.

Vegeta hat geschrieben:

Im Beschwerdemodus meldet AppArmor lediglich Überschreitungen der Rechte, verhindert sie aber nicht.

Wie bzw. wo werden diese Überschreitungen gemeldet? Gibt es dafür z.B. eine Log-Datei?

Bernd hat geschrieben:

Vegeta hat geschrieben:

Im Beschwerdemodus meldet AppArmor lediglich Überschreitungen der Rechte, verhindert sie aber nicht.

Wie bzw. wo werden diese Überschreitungen gemeldet? Gibt es dafür z.B. eine Log-Datei?

Siehe AppArmor: /var/log.kern.log

hmm...Teil 2: Was die (Linux)Welt nicht braucht ...das dauert doch genau 2 Wochen (maximal) dann haben die ersten Cracker/Hacker schon 120000 möglichkeiten gefunden das Tool zu umgehen (wenn sie denn lust hätten)...und ne Beta in nem finale? wie passt das denn?

nja...kann man das auch wieder runterwerfen, oder fliegt dann wieder das system auseinander?

nosam hat geschrieben:

Bernd hat geschrieben:

Wie bzw. wo werden diese Überschreitungen gemeldet? Gibt es dafür z.B. eine Log-Datei?

Siehe AppArmor: /var/log.kern.log

Danke ☺ Normal bin ja ich der, der immer nur die Wiki-Links postet 😀

detructor15 hat geschrieben:

[...] und ne Beta in nem finale? wie passt das denn?

Anscheinend scheint es immer bei den Finalen Ubuntu-Versionen wechselnde Zielgruppen geben. jede zweite finale Version ist eine „Bastelversion“ mit experimenteller Software. Wenn du es wirklich Stabil und ausgereift haben willst, darfst du also nur jedes zweite Mal aktualisieren, oder wartest immer auf die LTS-Versionen (auch wenn du da nach einigen Monaten nurnoch veraltete und teilweise künstlich „am Leben gehalten“ Software hast).

detructor15 hat geschrieben:

nja...kann man das auch wieder runterwerfen, oder fliegt dann wieder das system auseinander?

Wollen wir mal hoffen, dass sich das Ding genau so einfach wie „tracker“ entfernen lässt.

detructor15 hat geschrieben:

hmm...Teil 2: Was die (Linux)Welt nicht braucht ...das dauert doch genau 2 Wochen (maximal) dann haben die ersten Cracker/Hacker schon 120000 möglichkeiten gefunden das Tool zu umgehen (wenn sie denn lust hätten)...und ne Beta in nem finale? wie passt das denn?

nja...kann man das auch wieder runterwerfen, oder fliegt dann wieder das system auseinander?

Ich denke du solltest den Artikel noch mal lesen, da du ihn scheinbar nur flüchtig überflogen hast. Außerdem läßt sich AppArmor nicht einfach aushebeln, da es die Linux Security Model-Kernelschnittstelle benutzt. Um AppArmor zu umgehen, braucht es einen Exploit für eine Anwendung und eine weitere ausnutzbare Schwachstelle in AppArmor, die sich über erstere Schwachstelle irgendwie ausnutzen läßt und das ist um es gelinde zu sagen, sehr sehr unwahrscheinlich sobald alle wichtigen Anwendungen durch AppArmor geschützt sind.

das haben sie bei der Windows Firewall auch gesagt...5 Tage nach dem release (oder so) war sie durchbrochen...solche Sicherheitsteile sind doch immer nach kurzer Zeit (bei entsprechendem Interesse) schnell umgangen...

Danke für die Info @ Dirk Sohler

Dirk Sohler hat geschrieben:

detructor15 hat geschrieben:

[...] und ne Beta in nem finale? wie passt das denn?

Anscheinend scheint es immer bei den Finalen Ubuntu-Versionen wechselnde Zielgruppen geben. jede zweite finale Version ist eine „Bastelversion“ mit experimenteller Software.

Nochmal für diejenigen, die schneller meckern als lesen:

Weitere Profile namens "apparmor-profiles" können aber nachträglich installiert werden, jedoch sind diese noch im Beta-Stadium und benutzen deswegen den so genannten Complain-Modus (Beschwerdemodus) von AppArmor.

detructor15 hat geschrieben:

das haben sie bei der Windows Firewall auch gesagt...5 Tage nach dem release (oder so) war sie durchbrochen...solche Sicherheitsteile sind doch immer nach kurzer Zeit (bei entsprechendem Interesse) schnell umgangen...

Es handelt sich hier um keine popelige Firewall, die man nach Lust und Laune tunneln kann. Vergleichbare Software (Beispiel ProcessGuard) gibt es auch für Windows und obwohl seit Jahren erhältlich, gibt's dafür keinerlei bekannte Exploits um sie zu umgehen.
Ich persönlich begrüße den Einbau von AppArmor sehr und hoffe, dass da noch einige Sicherheitsfunktionen hinzu kommen.

droebbel hat geschrieben:

Nochmal für diejenigen, die schneller meckern als lesen: [...]

Das große, aufgeblasene, als DRM- und Kopierschutzsystem verwendete User-Authentifizierung-System mit mehr Bugs als Funktionen - kurz: „Steam“ - war ursprünglich einzig als Verwaltungs- und Anti-Cheat-System für Multispieler-Mods eines beliebten Egoshooters geplant. Will sagen: Das was klein ist, wird groß. Und mit 8.04 soll es ja noch weiter ausgebaut werden (und das nicht immer gut, wie an Steam zu sehen ist).

Vielleicht ist es bis dahin wirklich gut integriert und brauchbar, aber zum jetzigen Zeitpunkt (nur eine Regel vorhanden, und das bei einem eher unwichtigem Systemprogramm, weitere Regeln runterladbar, aber nur als Beta mit mehreren Warnungen und ohne wirkliche Funktion) hat das System imho in einer Fertigen Distributionsversion nicht zu suchen.

hmmm...in Filmen ist es doch immer so das der böse sich iwo verschanzt, alles total gut bewacht nur irgendeinen dämlichen Luftschacht nicht...weil da ja "sowieso niemand" durchkommt...und dann kommt von genau da einer...
unterschätze also niemals die Details =)

@ Dirk
AppArmor != Steam
willkürliche Analogie != Argument

Das stufenweise Release ist Absicht, das Desaster in FC2 mit SELinux ist unvergessen. Hast Du einen besseren Vorschlag als das einzubauen, was sicher funktioniert und das zum Testen anzubieten, für das Testbedarf besteht?