D6 AppArmor Profile für Daemons

pietinger · Last edited by pietinger on Mon Nov 30, 2020 9:20 pm; edited 1 time in total

(Dieser Post ist Teil einer Installation-Anleitung. Falls nicht schon geschehen lies bitte: Installation Guide for Paranoid Dummies Post Nr. 3)

D.6 AppArmor Profile für Daemons

Ich biete Dir hier kein Profil für den "sshd". Ich habe nicht einmal versucht diesen mit einem AA-Profil zu sichern, weil ich der Meinung bin, dass ein laufender SSHD anderweitig gesichert werden muss: Entweder erlaubst Du (mittels Deiner FireWall) nur Zugang von vertrauenswürdigen Admin-Stations von Deinem lokalen Netzwerk und blockst jeglichen Versuch von anderen Netzen, ODER falls Du wirklich aus dem Internet auf den sshd gehen willst, dann mach das NUR über eine VPN-Leitung ! Alles andere ist für mich Harakiri.

Profile: /etc/apparmor.d/usr.sbin.privoxy
Beschreibung/Bemerkung: Wie Du siehst ist der Privoxy ein ganz ein braver Die Capabilites braucht er damit er den root abgeben kann um dann als User privoxy zu laufen.

pietinger · Posted: Mon Nov 30, 2020 8:51 pm Post subject:

Dieses Profil ist vermutlich veraltet ! (Da ich kein Update auf die neue Version des ddclient gemacht habe, konnte ich es nicht anpassen.)

Profile: /etc/apparmor.d/usr.bin.ddclient
Beschreibung/Bemerkung: Jo, mei, der ddclient halt aus /etc/init.d/ddclient.

pietinger · Posted: Sun Dec 13, 2020 12:36 am Post subject:

Profile: /etc/apparmor.d/usr.sbin.unbound
Beschreibung/Bemerkung: Der DNS-Server unbound mit einer Konfiguration wie in B.6 beschrieben.

pietinger · Posted: Mon Apr 03, 2023 3:44 pm Post subject:

Profile: /etc/apparmor.d/usr.sbin.chronyd
Beschreibung/Bemerkung: Der NTP-Client/-Server chrony mit einer Konfiguration wie im 5. Post von A.3 beschrieben.

pietinger · Posted: Wed Apr 03, 2024 1:53 pm Post subject: Achtung Umstellung auf merged-usr

Achtung: Umstellung auf merged-usr

... sorgt für eine böse Überraschung: Einige Profile wurden nicht mehr geladen ... weil ... der Pfad nicht mehr stimmt !

Betroffen sind alle Profile die früher in /usr/sbin/... waren. Leider ist das nach einer Umstellung von split-usr auf merged-usr nicht mehr der Fall, weil /usr/sbin nur noch ein Link auf /usr/bin ist. Wir haben ja in D.4 gelernt dass AppArmor solche Links nicht beachtet ...

Ich musste daher in drei meiner eingesetzten Profilen den Aufruf ändern (das ist die dritte Zeile im jeweiligen Profil):