ubuntuusers.de

Im Idealfall nutzt man AppArmor, merkt es aber nicht, da die Regeln die entsprechenden Anwendungen schützen, aber nicht beeinträchtigen.

Finde den Satz auch nicht so gut.

Vorschläge:
- Im Idealfall nutzt man AppArmor ohne es zu bemerken. Die Regeln sollen die entsprechenden Anwendungen schützen, aber nicht beeinträchtigen.
- Im Idealfall nutzt man AppArmor ohne es zu bemerken, da Regeln die entsprechenden Anwendungen schützen, aber nicht beeinträchtigen.
- Im Idealfall arbeitet AppArmor im Hintergrund ohne das der Nutzer etwas davon bemerkt. ("Ähnlich einer gut konfigurierten Firewall" ← Ka, ob man das so sagen kann/der Vergleich angebracht ist.)

Die letzte Version ist mein Favourite, da der Nebensatz zu den Regeln keinen Sinn ergibt. Natürlich sollen die Anwendungen nicht beeinträchtigt werden, darauf muss man nicht extra hinweisen. Ansonsten finde ich die 1. Version sprachlich schoener als das Original. Ich ersetze den Satz mal entsprechend. Bei missfallen einfach wieder ändern usw. blablub.

Schön das es zu AppAmor jetzt nen Wiki Artikel gibt. Wollte schon länger wissen, was sich dahinter verbirgt.

mfg
newur

Hallo,

habe den Satz geändert und verschoben: AppArmor.

Danke an alle für die Mithilfe! ☺

Gruß
noisefloor

Newur hat geschrieben:

Schön das es zu AppAmor jetzt nen Wiki Artikel gibt. Wollte schon länger wissen, was sich dahinter verbirgt.

Dem möchte ich mich anschließen. Vielen Dank für den Artikel.
Ich kann zwar nicht sagen, dass ich jetzt alles 100%ig verstanden hätte aber es ist immerhin eine Anfang. 😉

Hallo,

danke danke.

Ich oute mich jetzt mal: Ich verstehe zwar die Funktionsweise von AppArmor, aber wie man sinnvoll eigene Regeln erstellt checke ich auch nicht.

Gruß
noisefloor

So ich habe jetzt mal einige Fehler im Artikel ausgebessert und Dinge die nicht so gut erklärt waren verändert.
Ausserdem habe ich den aa-logprof Teil komplett rausgenommen. aa-logprog ist imo kein geeigneter Reader für die AA-logs. Man kann ihn als solchen zwar instrumentalisieren, wenn man weiss wie, aber das sollte Otto-normal User nicht machen, da er sich damit mit einem falschen Tastendruck ganz schnell seine Regeln versauen kann. Will jemand die logs nur anschauen soll er tail benutzen. aa-logprof ist zum Updaten von Regeln gedacht und nicht zum Betrachten.

Ausserdem habe ich mich etwas intensiver mit dem Erstellen von Regeln beschäftigt. Hier ist ein HowTo das ich darüber geschrieben habe: http://forum.ubuntuusers.de/topic/129738/ wäre toll wenn es mal jemand bei sich ausprobiert und schaut ob ers hinbekommt. Wenn ich kein negatives Feedback bekomme werde ich den Wiki-Artikel bezüglich des Erstellens von eigenen Profilen in ein paar Tagen ausbauen.

Hallo,

das Erstellen von eigenen Regeln kannst du IMHO schreiben, aber bitte als Unterartikel, also z.B. AppArmor/Regeln erstellen.

Und deutlich darauf hinweisen, dass man sich damit tempörär auch selber aus dem Porgramm aussperren kann.

Wenn der Artikel soweit ist bitte einen eigenen Thread dafür aufmachen.

Gruß
noisefloor

Okay ich habe noch einen Abschnitt erstellt, welche Programme von AppArmor geschützt werden sollten:

= Welche Programme sollte man mit AppArmor schützen =

Grundsätzlich sollte jedes Programm welches eine Angriffsfläche bietet von AppArmor beschützt werden. Dies sind vorranging (aber nicht ausschliesslich) Programme welche eine Verbindung nach aussen, also dem Netzwerk oder Internet herstellen oder von dort erreicht werden können. Als Beispiel seien Browser, Email- und Chat-programme und Dienste genannt. Eine minimal Auswahl erhält man durch ein AppArmor-Util, welches man vom Terminal aus aufruft:
{{{#!Befehl
sudo unconfined
}}}
Dieses ermittelt mittles netstat welche Programme offene Netzwerk-sockets (TCP/UDP) besitzen und ob sie ein AppArmor-Profil besitzen. Auf einem frisch installierten Ubuntu (Gutsy) sieht die Ausgabe so aus:
{{{
5460 /usr/sbin/avahi-daemon not confined
5460 /usr/sbin/avahi-daemon not confined
5806 /sbin/dhclient3 not confined
18367 /usr/sbin/cupsd confined by '/usr/sbin/cupsd (enforce)'
}}}

Man sieht drei Dienste, wovon nur einer geschützt wird (cups). Man besitzt also zwei ungeschützte Dienste: avahi-daemon und dhclient3. avahi-daemon wird wahrscheinlich doppelt gelistet weil es sowohl für TCP, wie auch UDP lauscht. Diese beiden Dienste sind standardmässig auf Ubuntu installiert. Sie sind nur aus dem lokalen Netzwerk, also nicht aus dem Internet zu erreichen und gelten als sicher und nicht ausnutzbar. Mehr dazu kann man [:Offene_Ports#Ausnahme_Dienste: hier] lesen. Paranoide werden wahrscheinlich trotzdem eine Regel dafür haben wollen, aber nach jetzigem Kenntnisstand ist dies nicht nötig.

Sollte unconfined weitere Dienste anzeigen, wie zum Beispiel Privoxy oder TOR, sollte man diese von AppArmor schützen lassen. Als Anmerkung sei noch gesagt, dass unconfined mit grosser Wahrscheinlichkeit nur Dienste anzeigen wird und nicht normale Internetanwendungen (wie zum Beispiel einen Browser). Das bedeutet aber nicht, dass diese nicht geschützt werden sollten. Wie bereits gesagt ist die unconfined-Liste nur ein kleiner Ausschnitt an schützenswerten Anwendung und in keinem Fall abschliessend.

Ich bin mir aber nicht so sicher wohin damit. Da man Regeln auch anderweitig beziehen kann, als sie selbst zu erstellen wäre ich eher für den AppArmor-Artikel, als für den neuen Profile_erstellen. In meinem Desktop-wiki habe ich den Abschnitt zwischen Installation und Benutzung eingefügt. Was haltet ihr davon?

greets

Hallo,

der AppArmor ist ja primär eine Info zu AppArmor. Wie du ja richtig sagst werden die meisten Regeln von extern beziehen.

Daer schlage ich vor, deine Textblock ans Ende des AppArmors Artikel zu setzen und die Überschrift "Welche Programme werden von AppArmor geschützt und welche sollten man schützen lassen?".

Und dann am Ende auf den Artikel "eigene Regeln bauen" linken.

Gruß
noisefloor

Okay habs mal eingeflochten, schaus dir mal bitte an. Irgendwie sieht die Überschrift im Inhaltsverzeichnis wegen der Länge kacke aus ☺ Hab den Artikel noch etwas umstrukturiert.

greets

Hallo,

yup, das ist mir auch eingefallen - Überschrift über 2 Zeilen ist uncool.

Wenn das Wiki mal _keine_ 500er wirft lese ich den Artikel AppArmor nochmal...

Gruß
noisefloor

Hallo,

Artikel ist IMHO ok - habe die Überschrift gekürzt, die war definitiv zu lang...

Und bitte im Wiki keine Deadlinks erzeugen! Habe den Link auf Profile erstellen auskommentiert.

In der Baustelle sind Dealinks akzeptiert, btw.

Gruß
noisefloor

Im Artikel steht

"Um AppArmor für die aktuelle Sitzung zu deaktivieren reicht es, das entsprechende Kernelmodul apparmor zu entladen."

Aber der Aufruf von

modprobe -r apparmor

liefert:

FATAL: Module apparmor not found.

Mache ich was falsch, oder ist das gar kein Kernelmodul mehr?

Hi,

ist AppArmor bei dir überhaupt geladen? Lass dir mal die aktuell geladenen Kernelmodule mit

lsmod

anzeigen.

Gruß Schlussbilanz

Hallo,

stimmt - zumindest unter Karmic. Es gibt kein Modul mehr, aber AppArmor läuft.

Apparmor läuft als Dienst und kann über

sudo /etc/init.d/apparmor stop 

gestoppt werden.

Hat jemand noch Jaunty und kann schauen, wie es da ist?

Gruß, noisefloor

Schlussbilanz schrieb:

ist AppArmor bei dir überhaupt geladen? Lass dir mal die aktuell geladenen Kernelmodule mit

lsmod

anzeigen.

lsmod zeigt kein apparmor an, aber apparmor_status gibt folgendes aus:

apparmor module is loaded.
6 profiles are loaded.
6 profiles are in enforce mode.
   /usr/lib/connman/scripts/dhclient-script
   /sbin/dhclient3
   /usr/sbin/cupsd
   /usr/sbin/tcpdump
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/NetworkManager/nm-dhcp-client.action
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode :
   /sbin/dhclient3 (840)
   /usr/sbin/cupsd (795)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Nach dem Stoppen des Dienstes, wie von noisefloor beschrieben, steht dann immernoch da: apparmor module is loaded. allerdings stehen dann alle profiles und processes auf Null. Heisst das Modul irgendwie anders? Ich kann aber keins finden, was irgendwie nach apparmor aussieht.

Gruß Ender