AppArmor (Jessie) aa-logprof/aa-genprof funktionieren nicht

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
spacken
Beiträge: 29
Registriert: 07.08.2009 11:11:17

AppArmor (Jessie) aa-logprof/aa-genprof funktionieren nicht

Beitrag von spacken » 30.10.2015 15:13:44

Ich nutze Jessie und versuche mit aa-logprof mein Profil für Apache zu erweitern. Leider funktioniert das nicht, obwohl Apparmor Einträge in /var/log/syslog stehen. Dann erscheint nur folgende meldung:
Reading log entries from /var/log/syslog.
Updating AppArmor profiles in /etc/apparmor.d.
Allerdings wird mir nicht angeboten die Regeln entsprechend der Verstöße in den Logs anzuzpassen.

Das scheint ein Bug zu sein, steht zumindest hier: https://www.mail-archive.com/search?l=d ... newest&f=1
und hier: https://bugs.debian.org/cgi-bin/bugrepo ... bug=771400

Dort steht auch, das die Lösung folgendes ist:
the solution is to edit the value of RE_LOG_v2_6_syslog
(in class ReadLog) in
/usr/lib/python3/dist-packages/apparmor/logparser.py and add
(audit:\s+)? right before 'type' in the regular expression.
Allerdings funktioniert das bei mir nicht, denn dann bekomme ich nachdem ich

Code: Alles auswählen

aa-logprof
ausführe folgenden fehler:
Reading log entries from /var/log/syslog.
Updating AppArmor profiles in /etc/apparmor.d.
Traceback (most recent call last):
File "/usr/sbin/aa-logprof", line 52, in <module>
apparmor.do_logprof_pass(logmark)
File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2266, in do_logprof_pass
log = log_reader.read_log(logmark)
File "/usr/lib/python3/dist-packages/apparmor/logparser.py", line 354, in read_log
self.add_event_to_tree(event)
File "/usr/lib/python3/dist-packages/apparmor/logparser.py", line 239, in add_event_to_tree
if '//' in e['name']:

Hat jemand das gleiche Problem und eine Lösung dafür?
Ich hatte auch schon auditd installiert, dann ließt er die Apparmor logs zuerst von /var/log/audit/audit.log, aber dann kommt auch nur eine Fehlermeldung. Auch ein Update auf AppArmor 2.10 aus Stretch half bisher nicht :cry:

Antworten