D2 Kernel Konfiguration IV für AppArmor

Message

Post by **pietinger** » Wed Nov 25, 2020 5:54 pm

(Dieser Post ist Teil einer Installation-Anleitung. Falls nicht schon geschehen lies bitte: Installation Guide for Paranoid Dummies Post Nr. 3)

D.2 Kernel Konfiguration IV für AppArmor

Falls Du C.2 (noch) nicht gemacht hast, mache bitte das Kapitel "1. Vorbereitung" aus C.2 und bleibe gleich in der Sektion "Security options" und dort ...

(Wenn Du bereits IMA im Appraise-Modus aktiv hast, boote bitte gleich in den UNLOCKED-Kernel und bleibe dort bis Du D.3 gemacht hast. Boote dann erst zurück.)

... aktivierst Du dann AppArmor und disablest die beiden folgenden Zeilen - Kernel Version 5.15.x:

Code: Select all

 [*] AppArmor support
 [ ]   Enable introspection of sha1 hashes for loaded profiles
 [ ]   Build AppArmor with debug code

Edit 2022-01-11: Kernel Version 6.1.x:

Code: Select all

 [*] AppArmor support
 [ ]   Build AppArmor with debug code
 [ ]   Allow loaded policy to be introspected
 [ ]   Perform full verification of loaded policy

Ganz unten stellst Du AppArmor als primäres LSM ein und sorgst für die richtige Reihenfolge der LSMs:

Code: Select all

     First legacy 'major LSM' to be initialized (AppArmor)  --->
 (lockdown,yama,loadpin,safesetid,integrity,apparmor,bpf) Ordered list of enabled LSMs

Du musst diese Kernel-Konfiguration noch nicht aktiviert haben, wenn Du die Installation D.3 machst. Nur halt dann irgendwann mal ...

Dann solltest Du folgendes im Systemlog haben:

Code: Select all

# dmesg | grep -i apparmor
[    1.250365] LSM: builtin ordering: apparmor (enabled)
[    1.250370] LSM: exclusive chosen: apparmor
[    1.250386] LSM: initializing apparmor
[    1.250408] AppArmor: AppArmor initialized
[    1.584356] AppArmor: AppArmor Filesystem Enabled

Weiter gehts in D.3