D3 Installation AppArmor

[pietinger]

(Dieser Post ist Teil einer Installation-Anleitung. Falls nicht schon geschehen lies bitte: Installation Guide for Paranoid Dummies Post Nr. 3)



D.3 Installation AppArmor

1. Falls Du so wie von mir in D.1 beschrieben die AppArmor-Profile installiert hast, verschiebe diese spätestens jetzt in Dein /home-Verzeichnis (oder sonstwo Dir geeignet erscheinend), so dass /etc/apparmor.d komplett leer ist.

2. Wir benötigen die beiden Packages apparmor und apparmor-utils.

Code: Select all

# emerge -pv apparmor
# emerge -pv apparmor-utils

3. Erstelle gleich einen Ordner für unsere späteren Basis-Profile (BP). Die Änderung der Zugriffsrechte soll auch gleich für den vorhandenen Ordner "disable" gelten; deshalb der "*"

Code: Select all

# cd /etc/apparmor.d/
# mkdir local
# chmod 0700 *

4. Falls nicht schon geschehen, boote jetzt Deinen Kernel mit der AppArmor-Konfiguration, damit Du danach testweise diese Befehle absetzen kannst:

Code: Select all

# aa-status 
apparmor module is loaded.

# aa-unconfined 
1761 /usr/sbin/sshd nicht eingeschränkt
2058 /usr/sbin/privoxy nicht eingeschränkt

Die Ausgabe des zweiten Befehls wird bei Dir sicherlich anders sein Du siehst hier die Programme (daemons) die höchst gefährdet sind, da sie 24*7 ins Netzwerk lauschen und deshalb mit AppArmor abgesichert werden sollten. Später dazu mehr.

5. Wenn wir mit allem fertig sind aktivieren wir AppArmor mit dem Systemstart (auch wenn es ungefährlich wäre es gleich zu machen, möchte ich es doch zur Sicherheit wirklich erst am Ende tun):

Code: Select all

# rc-update add apparmor boot

Weiter gehts in D.4

[pietinger]

Bei der Gelegenheit möchte ich Dich an zwei Dinge erinnern:

1. Vergiss nicht nach dem Lesen von D.4 bis D.10 noch den rc-update (o.g. Punkt 5)

2. Falls Du Dir - so wie ich - die AA-Profile geholt haben solltest, solltest Du diese auf alle Fälle mit "emerge -C apparmor-profiles" aus Deiner "world"-Datei löschen. (*)


* Ich habe es nämlich vergessen (nur die Files aus /etc/apparmor.d in mein /home verschoben) ... und vor ein paar Tagen kam ein KDE-Update. Ich war dann zuerst verwundert, warum ich plötzlich 4 AA-Profile für AKONADI bekam. Gut, es wurde damit nichts vorhandenes überschrieben; und ich habe sie mir gleich mal angesehen. Ich weiß nicht wie alt die sind, aber wenn der Aufruf eines externen Programms im Profil "usr.bin.akonadiserver" auf ein falsches Verzeichnis zeigt, dann liegt doch einiges im Argen ("drkonqi" ist bei Gentoo in "/usr/lib64/libexec" und nicht in "/usr/lib/x86_64-linux-gnu/libexec/drkonqi" installiert ... damit es im Fall eines Crashes von akonadi auch gleich richtig kracht ...).

[pietinger]

Noch ein Hinweis:

Du wirst später in dmesg das Laden der Profile durch /etc/init.d/apparmor sehen. Dabei schneidet der Kernel (5.9.x) die Ausgabe ab und es sieht so aus, wie wenn er nur die ersten 9 Profile geladen hätte. Das ist aber nicht der Fall; es wurden alle geladen - also keine Panik ! Du kannst dies auch nach dem Boot mit "aa-status" überprüfen (gleiche Thematik wie in C.3.3 schon für IMA beschrieben).

Obsolet: Falls Du auch IMA installiert hast, siehst Du die Ausgaben von IMA nun überhaupt nicht mehr, da anscheinend der AUDIT immer nur die ersten 9 ausgibt. Ich habe testweise in "etc/init.d/loadimapolicy" ein "before apparmor" reingesetzt. Ergebnis ist, dass ich nun wieder die ersten 9 von IMA sehe, dafür aber nicht das Laden der AA-Profile.

Auf jeden Fall werden alle Profile von IMA und AppArmor geladen und sind auch "scharf" auch wenn man es in dmesg nicht so sieht !

Edit 2021-02-04: Wenn man in der sysctl.conf das "kernel.printk_ratelimit = 0" auf null setzt, wird wieder alles angezeigt. Sollte man aber nicht machen (ich habe dies nur bei Tests bemerkt).