ubuntuusers.de

Zu Dirk:

Apparmor wurde eingebaut um den Nutzern die Möglichkeit zu bieten es auch zu nutzen 😉 !
Die zusätzlichen Profile wurden ( noch ) nicht standardmäßig eingebaut um Probleme zu vermeiden (IMO richtige Entscheidung) .

Allgemein zu Apparmor und Selinux:

Ich bin jetzt kein Fachmann was das angeht... aber hier einfach mal das was ich weiß:

Selinux ist die ältere, ausgereiftere und vom Funktionsumfang komplexere Lösung!
Apparmor wurde entwickelt (Novell) und in Ubuntu integriert, da es für 99% der Nutzer die bessere Lösung ist... Apparmor ist einfach simpler.

Grüße,

Psych

Ein Link zum Vergleich AppArmor und SELinux (EDIT: ersten Link entfernt, war nur ne blöde Folie):
http://www.christoph-wickert.de/blog/2006/03/17/apparmor-vs-selinux/

Ach ja, in Zusammenhang mit Alans Zitat könnte dies hier noch interessant sein, was ich in Cryptogram gefunden hab: http://www.acsac.org/2002/papers/classic-multics.pdf

Daß AppArmor einfacher sei, wird von SELinux-Verfechtern teils vehement bestritten. Die Behauptung wird oft wiederholt, aber stimmt sie wirklich?

EDIT dazu ein Statement Chad Sellers:

In working to make the mechanism right, perhaps we've ignored usability
a bit. This doesn't mean the technology is doomed. On the contrary, I'd
say that the only reason it has a chance is because the mechanism is so
complete. Please don't discount SELinux just because these usability
features are still in their infancy.

/EDIT

Was in Ubuntu früher fertig wird, hat bei Features wie diesem, die nicht absolut zentral sind, viel damit zu tun, was einfacher zu implementieren ist und / oder woran gerade zufällig stärker gearbeitet wird.

psych hat geschrieben:

Apparmor wurde eingebaut um den Nutzern die Möglichkeit zu bieten es auch zu nutzen 😉 !

In früheren Versionen der Firefox-Erweiterung NoScript konnte man chrome:// auf die Liste setzen, was dafür sorgte, dass die Firefox-GUI nicht mehr funktionierte. Wenn sowas übertragen bei AppArmor ausgeschlossen ist, okay ☺

psych hat geschrieben:

Apparmor ist einfach simpler.

Simpel ist gut, wenn der Funktionsumfang nicht darunter leidet.

Hab mich noch nicht genauer mit AppAmor beschäftigt. Aber ist es nicht so, dass eine Ubuntu-Installation standardmäßig CUPS auf am Laufen hat und das auf Port 631 lauscht? Dann wäre doch eine Sicherheitsmaßnahme in der Richtung gut im Hinblick auf die wachsende Verbreitung von Ubuntu, oder?

urlauber hat geschrieben:

Hab mich noch nicht genauer mit AppAmor beschäftigt. Aber ist es nicht so, dass eine Ubuntu-Installation standardmäßig CUPS auf am Laufen hat und das auf Port 631 lauscht? Dann wäre doch eine Sicherheitsmaßnahme in der Richtung gut im Hinblick auf die wachsende Verbreitung von Ubuntu, oder?

127.0.0.1:631 ist ein interner Port und damit ungefährlich. AppAmor ist dazu da einem Programm bezüglich Zugriffe auf Bibliotheken oder anderen Programmen zu beschränken. Wenn nun z.B. ein Schadprogramm versucht über deinen Messanger an deinem Kernel rumzuschrauben verbietet AppAmor das dem Messenger da er keine Befugniss dazu hat wenn du eine passende Regel definiert hast. (Ich hoffe ich hab das richtig verstanden und hier erklärt... ☺ )

Dirk bitte bitte bitte beschäftige dich doch mal mit AppArmor bevor du hier in einer Tour nörgelst. Wie kann man bitte nörgeln ohne sich das ganze auch nur einmal angesehen zu haben? Nur weil es das Preisschild Beta trägt? Das gleich gilt für destructor15, ich wette du hast App Armor noch nichtmal angesehen. Aber Hauptsache man hat seinen Unmut gegen was auch immer abgeladen. (ist mir im Openmoko Thread auch schon aufgefallen)

denis_std hat geschrieben:

Nur weil es das Preisschild Beta trägt?

Nein, weil es rein zum Testen in eine finale Distributionsversion eingebaut wurde, anstatt die Unstable-Version dafür zu benutzen.

Dirk Sohler hat geschrieben:

denis_std hat geschrieben:

Nur weil es das Preisschild Beta trägt?

Nein, weil es rein zum Testen in eine finale Distributionsversion eingebaut wurde, anstatt die Unstable-Version dafür zu benutzen.

AppArmor war bereits im Unstable mit dabei und wurde nicht erst in das Release eingebaut. Wäre es nicht bis zum Feature-Freeze drinnen gewesen, wäre es ja auch gar nicht mit aufgenommen worden.

Dirk Sohler hat geschrieben:

Nein, weil es rein zum Testen in eine finale Distributionsversion eingebaut wurde, anstatt die Unstable-Version dafür zu benutzen.

Mumpitz.
Edgy und Feisty sind stabilisiertes Testing - und Gutsy ist momentan noch Unstable... da gehört sowas zum Testen rein.
Hardy wird wieder Stable und da kommt das Endergebniss rein.

Dirk Sohler hat geschrieben:

denis_std hat geschrieben:

Nur weil es das Preisschild Beta trägt?

Nein, weil es rein zum Testen in eine finale Distributionsversion eingebaut wurde, anstatt die Unstable-Version dafür zu benutzen.

Nein weil es stabil genug ist um es an viele zu verteilen. wie lange sollte man den software testen bis sie an den mann kommt? ich finde es sehr gut bei ubuntu immer die aktuelle software geboten zu bekommen. Möchtest DU das nicht, dann update einfach nicht. Warte bis januar oder februar und update dann.

DU hast die wahl ob du die sachen willst oder nicht... du willst sie nicht. dann warte halt mitm updaten, nimm die LTS version oder irgend ne andere distri die "stabil" genug für dich ist. Ubuntu ist ne desktop distri und kein server system.

Ich frag mich ob du die die beta von 7.10 überhaupt mal ausprobiert hast, dass du hier behaupten kannst es wäre alles ungetestet und unstabil?

Ich glaube er hat einfach nicht verstanden dass nur die Profile beta sind (und deshalb auch nicht mitgeliefert werden), AppArmor an sich aber schon zuverlässig.
So bekommt der nutzer ohne einschränkung oder Leistungsverlust eine neue Funktion: Und zwar die möglichkeit für jedes Programm separate Rechte zu bestimmen (also MEHR macht, nicht weniger).

Klasse Sache!

Wenn ich richtig recherchiert habe, funktionieren die propietären DELL-Treiber nicht mehr mit AppArmor. Ob das gut oder schlecht ist, sei mal da hin gestellt, aber wenn man seinen Drucker nicht benutzen kann, ist das für manche Leute ein K.O.-Kriterium.

Es hat mich einige frustriende Stunden gekostet, bis ich bei Gutsy die Ursache fand warum cups mit dem Drucker nicht funktionierte.
apparmor war die Ursache.

Hinweise fand ich in der englischen Gutsy Bugliste, auf der ein netter Entwickler den entscheidenden Tipp preisgab:

sudo aa-complain cupsd

Damit läuft cups unter Gutsy mit appsarmor in der Release Version wieder. Nur: Was soll ich mit dem Teil appsarmor, wenn der Umgang damit so frickelig ist daß es mir nur nutzt wenn ich seine eigentliche Schutzfunktion aushebele ?
Das Teil wird noch viel Supportanfragen für cups auflaufen lassen, denke ich mal.

Gersprenz hat geschrieben:

Es hat mich einige frustriende Stunden gekostet, bis ich bei Gutsy die Ursache fand warum cups mit dem Drucker nicht funktionierte.
apparmor war die Ursache.

Wo genau liegt da das Problem? Wenn es sich mit einem verbesserten Profil beheben ließe, wäre das ja keine große Sache.

Hoffe, dies wurde hier noch nicht behandelt: Wenn ich AppArmor richtig verstanden habe, dann legt es sich sozusagen um ein Programm und überwacht bzw. blockiert Systemaufrufe. Kann ich damit nicht schön das Surfen für den Normalnutzer absichern? Das größte Risiko für den Desktop-Rechner dürfte doch bei weitem der Browser sein.