staging.inyokaproject.org

Hallo,

in Vorbereitung auf Gutsy schon mal ein Artikel zur Diskussion: Baustelle/AppArmor

Falls jemand was sinnvolles beitragen kann - nur zu! ☺

Gruß
noisefloor

noisefloor hat geschrieben:

Falls jemand was sinnvolles beitragen kann - nur zu! ☺

Aso - dann habe ich nichts zu sagen 😉
Sieht interessant aus und ist gut zu lesen. Gefällt mir. Getestet fehlt noch beim groben überblicken ☺

Hi,

getestet = gutsy ☺
Steht im Quelltext, wird logischerweise nicht angezeigt. Artikel soll auch erst Ende des Monats ins Wiki.

Gruß
noisefloor

Hmm. Der Dienste Teil

Baustelle/AppArmor#head-65a14ffd16d91efdd3506f73041e2a42e24b909a

Wer AppArmor nicht will, sollte das Programm entfernen. Ich würde hier das entfernen der Symlinks rauslassen. Und der "Standardteil" zu Diensten wie z.b. zu

Apache#head-adeeb5dd985e370203dc35ffc206296bf4732f92

einfügen.

Tschuess
Christoph

Mmhh... kann es sein, dass AppAmor so sinnlastig ist, wie USB_Hamsterrad?

Für mich bitte ausführlich beschreiben, wie ich das sauber los werde, danke. 😈

Es existieren per default zahlreiche Regeln.

etc/apparmor.d/abstractions/X				    base/apparmor
etc/apparmor.d/abstractions/aspell			    base/apparmor
etc/apparmor.d/abstractions/audio			    base/apparmor
etc/apparmor.d/abstractions/authentication		    base/apparmor
etc/apparmor.d/abstractions/base			    base/apparmor
etc/apparmor.d/abstractions/bash			    base/apparmor
etc/apparmor.d/abstractions/consoles			    base/apparmor
etc/apparmor.d/abstractions/cups-client			    base/apparmor
etc/apparmor.d/abstractions/dbus			    base/apparmor
etc/apparmor.d/abstractions/fonts			    base/apparmor
etc/apparmor.d/abstractions/freedesktop.org		    base/apparmor
etc/apparmor.d/abstractions/gnome			    base/apparmor
etc/apparmor.d/abstractions/gnupg			    base/apparmor
etc/apparmor.d/abstractions/kde				    base/apparmor
etc/apparmor.d/abstractions/kerberosclient		    base/apparmor
etc/apparmor.d/abstractions/mdns			    base/apparmor
etc/apparmor.d/abstractions/mysql			    base/apparmor
etc/apparmor.d/abstractions/nameservice			    base/apparmor
etc/apparmor.d/abstractions/nis				    base/apparmor
etc/apparmor.d/abstractions/nvidia			    base/apparmor
etc/apparmor.d/abstractions/orbit2			    base/apparmor
etc/apparmor.d/abstractions/perl			    base/apparmor
etc/apparmor.d/abstractions/php5			    base/apparmor
etc/apparmor.d/abstractions/python			    base/apparmor
etc/apparmor.d/abstractions/ruby			    base/apparmor
etc/apparmor.d/abstractions/samba			    base/apparmor
etc/apparmor.d/abstractions/svn-repositories		    base/apparmor
etc/apparmor.d/abstractions/user-download		    base/apparmor
etc/apparmor.d/abstractions/user-mail			    base/apparmor
etc/apparmor.d/abstractions/user-manpages		    base/apparmor
etc/apparmor.d/abstractions/user-tmp			    base/apparmor
etc/apparmor.d/abstractions/user-write			    base/apparmor
etc/apparmor.d/abstractions/video			    base/apparmor
etc/apparmor.d/abstractions/web-data			    base/apparmor
etc/apparmor.d/abstractions/winbind			    base/apparmor
etc/apparmor.d/abstractions/wutmp			    base/apparmor
etc/apparmor.d/abstractions/xad				    base/apparmor
etc/apparmor.d/bin.ping					    base/apparmor-profiles [universe]
etc/apparmor.d/program-chunks/postfix-common		    base/apparmor-profiles [universe]
etc/apparmor.d/sbin.klogd				    base/apparmor-profiles [universe]
etc/apparmor.d/sbin.syslog-ng				    base/apparmor-profiles [universe]
etc/apparmor.d/sbin.syslogd				    base/apparmor-profiles [universe]
etc/apparmor.d/tunables/global				    base/apparmor
etc/apparmor.d/tunables/home				    base/apparmor
etc/apparmor.d/usr.sbin.cupsd				    net/cupsys
etc/apparmor.d/usr.sbin.identd				    base/apparmor-profiles [universe]
etc/apparmor.d/usr.sbin.mdnsd				    base/apparmor-profiles [universe]
etc/apparmor.d/usr.sbin.mysqld				    base/apparmor-profiles [universe]
etc/apparmor.d/usr.sbin.named				    base/apparmor-profiles [universe]
etc/apparmor.d/usr.sbin.nmbd				    base/apparmor-profiles [universe]
etc/apparmor.d/usr.sbin.nscd				    base/apparmor-profiles [universe]
etc/apparmor.d/usr.sbin.ntpd				    base/apparmor-profiles [universe]
etc/apparmor.d/usr.sbin.smbd				    base/apparmor-profiles [universe]
etc/apparmor.d/usr.sbin.traceroute			    base/apparmor-profiles [universe]

Sinnfrei ist das nicht... Gerade für Serverdienste. Der entfernen Teil ist definitv redundant 😉

Sorry, ich hatte vergessen, die ironie-tags zu setzten - wenn man keinen Linux-Router hat, ist sowas sicherlich irgendwie auf einem Desktop zu rechtfertigen und ich will das gar nicht schlecht reden.

BTW: No-Paste-Service ist echt eine feine Sache. 😉

Gruß, cornix

cornix hat geschrieben:

Mmhh... kann es sein, dass AppAmor so sinnlastig ist, wie USB_Hamsterrad?

Finde ich gar nicht.
Für sicherheitsbewusste Leute macht dies auch Sinn auf einem Desktop.
Natürlich liegt der Schwerpunkt von AppArmor auf Server-Systeme, wie SE-Linux auch.
Nur ist AppArmor "einfacher" zu nutzen als SE-Linux.

Schon klar, - wenn es unsinnig wäre, hätte noisefloor dazu auch keinen Artikel geschrieben. 😉

Habe ein paar Tipper eingesammelt - Artikel scheint mir fertig zu sein, nun muss nur noch die Gutsy-Beta rauskommen.

Gruß, cornix

Hallo,

@Chrissss: Der Aktivieren / Reaktivieren Teil ist aus dem englische Ubuntu Wiki....
Ausserdem sind bei dir viel mehr Profile vorhanden als bei mir ?! 😲

Und an alle: Danke für die Korrekturen.

Ob AppArmor sinnig oder unsinnig ist - kein Kommentar. Läuft aber nun mal per Default unter Gutsy. 😛

Braucht der Artikel eine "Fortgeschritten" Tag?

Gruß
noisefloor

Hallo,

habe die Installation unter Feisty ergänzt, ABER: das Modul wird nicht geladen.

Könnte mal jemand testen bzw. es gibt auch einen Bug-Report, aus dem ich nicht schlau werde:

latest apparmor utilities for feisty

Gruß
noisefloor

Hallo,

habe den Deaktivieren Teil mal massiv gekürzt.

Wenn niemand was dagegen hat verschiebe ich die kommenden Tage. ☺

Gruß
noisefloor

Im Idealfall nutzt man AppArmor, merkt es aber nicht, da die Regeln die entsprechenden Anwendungen schützen, aber nicht beeinträchtigen.

Also nach dem dritten oder vierten langsamen lesen hab ich den Satz dann auch verstanden... was meint ihr wie der besser lauten könnte?

Marv

Im Idealfall nutzt man AppArmor, merkt es aber gar nicht. Grund hierfür ist, dass die Regeln die entsprechenden Anwendungen schützen, aber nicht beeinträchtigen.

So vielleicht. Fand den Satz aber vorher auch nicht sonderlich schwierig zu verstehen...

Forlong hat geschrieben:

Im Idealfall nutzt man AppArmor, merkt es aber gar nicht. Grund hierfür ist, dass die Regeln die entsprechenden Anwendungen schützen, aber nicht beeinträchtigen.

So vielleicht. Fand den Satz aber vorher auch nicht sonderlich schwierig zu verstehen...

Ja, das ist besser. Vielleicht war es gestern auch einfach nur etwas spät... 😳

Marv