[gelöst] AppArmor tut nicht mehr richtig

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

[gelöst] AppArmor tut nicht mehr richtig

Beitrag von Krull » 28.05.2015 12:23:10

Hallo,

ich habe auf einem meiner Rechner Apparmor laufen, das leider nicht mehr richtig tut. Lange Zeit hat es korrekt funktioniert, aber seit einigen Wochen sieht es nicht mehr (oder nur noch eingeschränkt), was die eingehegten Anwendungen tun. Durch eine Aktualisierung von Wheezy nach Jessie hat sich das Problem leider auch nicht von selbst gelöst ^^

Es ist so, dass bereits existierende Profile gut funktionieren, d. h. die entspr. Programme können sich nur im erlaubten Bereich "bewegen". Deren Aktivitäten werden auch in /var/log/syslog protokolliert, z.B. so:

Code: Alles auswählen

May 26 18:25:13 machine kernel: [ 4358.090965] audit: type=1400 audit(1432643113.870:630): apparmor="DENIED" operation="open" profile="/usr/bin/evince" name="/usr/share/xfce4/applications/" pid=12833 comm="evince" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Das passiert aber nur solange es in den Regeln des Profils auch definiert ist. Macht ein Programm einen Dateizugriff, der bisher nicht vorgesehen war, wird dieser zwar unterbunden (im enforce-Modus) aber nicht protokolliert, sodass man dann mit 'aa-logprof' eine neue Regel definieren könnte. Es ist auch egal, ob sich das Profil im enforce- oder complain-Modus befindet.

Um es auf den Punkt zu bringen: 'aa-logprof' funktioniert nicht mehr, weil fragliche Aktionen nicht mehr in /var/log/syslog auftauchen.

Beim Aufruf bekomme ich bloß:

Code: Alles auswählen

sudo aa-logprof 
Reading log entries from /var/log/syslog.
Updating AppArmor profiles in /etc/apparmor.d.
In der logprof.conf sind sowohl /var/log/syslog als auch var/log/messages als Logfiles definiert.

Ne Idee was hier kaputt sein könnte? Ohne 'aa-logprof' ist das Anlegen von neuen Profilen nämlich ein Riesenkrampf :-/
Zuletzt geändert von Krull am 30.05.2015 17:23:24, insgesamt 1-mal geändert.
Nach oben
inne
Beiträge: 3304
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: AppArmor tut nicht mehr richtig

Beitrag von inne » 28.05.2015 12:29:23

Ist /var/log/audit/audit.log vorhanden? Dann sind die Meldungen in dieser Logdatei. De-installiere ggf. Debianauditd oder konfiguriere aa-logprof.
Nach oben
Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

Re: AppArmor tut nicht mehr richtig

Beitrag von Krull » 28.05.2015 14:43:43

Nein, 'audit.log' existiert nicht, ist allerdings neben 'syslog' und 'messages' in 'logprof.conf' eingetragen. auditd ist nicht installiert.
Nach oben
Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

Re: AppArmor tut nicht mehr richtig

Beitrag von Krull » 30.05.2015 17:23:04

Ok, es scheint daran gelegen zu haben, dass auditd nicht (mehr) installiert war. Vermutlich habe ich das mal unabsichtlich mit runtergeschmissen.

Jetzt geht's wieder. Danke!
Nach oben
Antworten

Zurück zu „Sicherheit“