AppArmor - Deaktivieren oder wie verfahren?

[cggpp]

Hallo Leute.

AppArmor ist ja im Grunde genommen eine ganz tolle Idee. Nur bedauerliche Weise wird es nicht wirklich genutzt. Es ist eigentlich sehr schade darum.
Die paar Profile die es gibt sind vernachlässigbar und bieten nicht wirklich mehr Sicherheit.
Ob ich jetzt ein Profile für redshift, cupsd or lsb_release in enforce mode laufen lasse, wenn gleich ich aber große Einfallstore zB. Browser wie Chromium und Firefox überhaupt nicht absichere, ist dann schon makulatur.
Die Frage ist daher soll man es abschalten, da ohnehin kaum genutzt?

Wie haltet es ihr damit?

Gruß

[smutbert]

In apparmor-profiles gibt es Profile für firefox, evolution und viele andere Anwendungen und Dienste, die Debianpakete von thunderbird und libreoffice bringen eigene Profile mit – mir scheint da sind schon sehr viele der gängigen Einfallstore abgedeckt.

(Ich nutze es allerdings trotzdem nicht.)

[cggpp]

Vielen Dank für die Antwort. Es geht mir grundsätzlich um Meinungen dazu und Nutzungsverhalten.
Ich überlege es auch zu deaktivieren - dagegen spricht halt der Grundsatzgedanke: "besser etwas Sicherheit als keine", wobei es sich hier wohl eher um gefühlte Sicherheit als tatsächliche handelt.

Ich kenne die Pakete natürlich. Es gibt dann auch noch das apparmor-profiles-extra, wobei wie in der README schon erwähnt - mit Vorsicht und Argwohn zu genießen.
Die Frage ist natürlich auch ob es vertrauenswürdig ist, wenn da so wenig "liebe" darin steckt.
Ich habe das Profile für Firefox aktiviert aber gab es keinen einzigen Complain. Ob das heisst, dass es perfekt funktioniert oder überhaupt nicht ist natürlich fraglich.

Meiner Ansicht nach wird es zu sehr vernachlässigt, obwohl es einen derart großen Nutzen bringen könnte.
Alternativen gibt es meiner Ansicht nach nicht. Firejail empfinde ich persönlich gesagt als "Bloatware" / aufgeblasen und intransparent.
Mal abgesehen davon dass ich ein Backup von meinem BraveBrowser recovern musste, als ich es einmal probiert habe - weil es das Profile zerschossen hat
(Dass ich Bravebrowser bereits vor längeren wegen Sicherheitsmängel entfernt habe, ist ein anderes Thema)

Bubblewrap wäre gut aber ein Script dafür perfekt hinzubekommen ist auch eine Mammutaufgabe.

[fischig]

Soweit ich sehe, gibt es keinerlei an gängigen, sicherheitsrelevanten Anwendungen orientierte Anleitungen, insbesondere keine deutschsprachigen, für die Benutzung dieses Tools. Insofern bei mir als EDV-Laie: mittlerweile wieder deinstalliert. Ich weiß nicht, was ich damit soll.

Zwei abschreckende Beispiele:
https://debian-handbook.info/browse/de- ... armor.html
https://wiki.ubuntuusers.de/AppArmor/

[tijuca]

Und was ist daran abzuschreckend?

AppArmor ist keine klassische Anwendung, es ist ähnlich wie eine klassische Firewall oder Content Filtering System eine Art Zwischenlayer der Zugriffe auf Prozesse oder Ressourcen verhindert die potentiell gefährlich sein könnten.

Das es keine Information im großen weiten Internet gibt, die erklären was AppArmor ist (und was nicht) halte ich für ein Gerücht.

[cggpp]

Also es gibt meiner Ansicht nach viele Erklärungen, Tutorials etc. die den Gebrauch bzw. die Erstellung der sogenannten Profile erklärt. Die beiden aufgeführten Links finde ich da nicht so schlecht.

Im Grunde genommen ist es so, dass du mit dem Complain Mode die gewünsche Anwendung trackst und schaust was er von sich gibt. Es gibt sogar ein Tool, das dir ein Profil erstellt. Wenn ich mich richtig erinnere aa-genprof. Das Tool gibt dir bei jedem Zugriff die Möglichkeit zu entscheiden, ob du die gerade durchgeführte Aktion "profilen", akzeptieren, blockieren etc. möchtest. Aber nun triff mal die richtige Entscheidung .....

Ein weiteres Problem daran ist im Anschluss. Du musst nämlich wissen wie du das generierte Profile dann entsprechend einschränkst. Und hierbei beginnt die nächste Qual der Wahl..

Wenn du nicht gerade ein Entwickler oder Spezialist der betreffenden Anwendung bist, dann kannst du nämlich nur raten was die Software wirklich braucht und wobei es sich um einen ungerechtfertigten Zugriff handelt.

Im schlimmsten Fall konfigurierst du AppArmor, dass er Zugriffe auf Informationen beschränkt, die für die richtige Ausführung der Anwendung mitunter sogar essenziell sind. Dann funktioniert hinten und vorne nichts mehr.

Es handelt sich quasi um ein Kriegsschiff wozu es aber keine eingeschulte Mannschaft gibt... De facto unnötig und wird es irgendwann verrosten.

Im Übrigen, weil @smurtbert meinte, dass einige Anwendungen Profile mitliefern. Hilft natürlich viel, wenn LibreOffice Profile mitliefert und diese dann maximal in der Complain Mode laufen, weil sie sich mitunter selbst nicht sicher sind, dass die Profile richtig konfiguriert wurden. Ein ziemlicher Jammer soetwas.

Code: Alles auswählen

2 processes are in complain mode.
   /usr/lib/libreoffice/program/oosplash (42325) libreoffice-oopslash
   /usr/lib/libreoffice/program/soffice.bin (42341) libreoffice-soffice

[fischig]

Das es keine Information im großen weiten Internet gibt, die erklären was AppArmor ist (und was nicht) halte ich für ein Gerücht.

Ich habe nicht behauptet, dass es keine Informationen im Internet gibt.

Und was ist daran abzuschreckend?

Wenn's dir im Zusammenhang mit meiner These nicht auffällt, vermag ich nicht zu antworten.

[mludwig]

Ich betreibe einen DNS-Server damit, und habe bind entsprechend mit apparmor abgesichert. Da dieser Server ausschließlich DNS-Dienste nach außen anbietet, finde ich schon dass es eine erhöhte Sicherheit bietet. Lücken in bind gibt es gelegentlich, und hierdurch gibt es für eventuelle Angreifer eine weitere Hürde, die es zu überwinden gilt. Die Einrichtung war nach meinem Empfinden kinderleicht - es gab ein mitgeliefertes Profil. Dieses lief zunächst im complain-Mode. Eine notwendige Anpassung - da ich die Logdateien nicht in die vom Paketbetreuer vorgesehenen Pfade schreibe - und seitdem läuft es ohne Probleme.

Einer der Fälle wo man mal über den eigenen Tellerrand hinausschauen sollte. Nur weil man etwas selbst nicht braucht bzw. versteht, ist es (nicht) gleich nutzlos.

[fischig]

Nur weil man etwas selbst nicht braucht bzw. versteht, ist es (nicht) gleich nutzlos.

Falls das an mich geht: Auch das habe ich nirgends behauptet.

Einer der Fälle wo man mal über den eigenen Tellerrand hinausschauen sollte.

Schon mal über deinen Tellerrand "hinausgeschaut"?

[mludwig]

Nur weil man etwas selbst nicht braucht bzw. versteht, ist es (nicht) gleich nutzlos.

Falls das an mich geht: Auch das habe ich nirgends behauptet.

Einer der Fälle wo man mal über den eigenen Tellerrand hinausschauen sollte.

Schon mal über deinen Tellerrand "hinausgeschaut"?

Ich weiss nicht, warum du dich angegriffen fühlst, aber wenn du dir den Schuh anziehen willst ...

Ich bezog mich eher auf die Aussagen von cggpp, wonach dass ganze in Richtung verrostetes Kriegsschiff geht, wegen mangelnder Doku und so ... darauf bezog sich sowohl das Nutzlos als auch der Tellerrand.

[irgendwas]

Es geht mir grundsätzlich um Meinungen dazu und Nutzungsverhalten.

Auf meinem Server und seinen VMs nutze ich AppArmor sehr gerne und für alle Anwendungen. Auf dem Client sieht es etwas anders aus, dort für die wichtigen Dinge. Beispiel: Filezilla brauch ich nicht absichern.

Wenn man das Konzept verstanden hat, sind die mitgelieferten Profile unnötig. AppArmor ist keine Anwendung, die man nur installiert und anschließend nichts mehr machen muss.

[cggpp]

@fischig: Ich bin eigentlich auch davon ausgegangen, dass er dich meinte und habe diese Nachricht deshalb bewusst ignoriert, denn seine Aussagen passen nicht mal annähernd zu meinen Nachrichten (die meine Ansichten widerspiegeln). Da er ja nun deutlich gemacht hat, dass er mich damit meint, möchte ich selbstverständlich die Gelegenheit nutzen, ausführlich darauf eingehen und mitunter die Sache für den ein oder anderen richtigstellen:

Zunächst mal freut es mich, dass mir ein selbsternannter Sicherheitsexperte, der es offensichtlich gerade mal geschafft hat, ein mitgeliefertes Apparmor-Profil um drei Zeilen/Pfade in der Form "/var/xyz/private/path/log rw" zu erweitern und sich damit in der Position sieht, mich, einen jahrelangen Sicherheitsbeauftragten und Unterstützer des Projekts "apparmor-profile-everything" Unverständnis der Sache zu attestiert und mir rät, über den Tellerrand hinaus zu schauen. Lustig ist auch, dass er es besonders erwähnt, dass er es als leicht empfunden hat zwei Zeilen und Befehle zu nutzen. Wohlbemerkt er vom Anpassen eines Profiles für eine Mickeymouse Anwendung redet und es sich bei meinen Belangen um die Profileerstellung für sämtliche vorhandene Software für Linux dreht.
Ob er damit seinen Server tatsächlich mehr abgesichert hat oder nicht kann er wohl nicht eindeutig sagen, aber hauptsache sein subjektives Sicherheitsempfinden wurde damit gesteigert - ich nehme mal an seine Umask wird wohl weiterhin 022 sein.

Noch dazu dürfte @mludwig nicht lesen können, denn ich habe mit keinem Wort von mangelnder Doku gesprochen eher das Gegenteil - geantwortet auf @fischig:

Also es gibt meiner Ansicht nach viele Erklärungen, Tutorials etc. die den Gebrauch bzw. die Erstellung der sogenannten Profile erklärt. Die beiden aufgeführten Links finde ich da nicht so schlecht.

Wie er darauf kommt oder sich das zusammenreimt ist mir ein Rätsel. Darüber hinaus habe ich sogar die Vorgehensweise für ein neues Profil und die Problematik beschrieben, womit eigentlich davon auszugehen ist, dass ich mich mit der Thematik bestens auskenne.

Ebenso habe ich mit keinem Wort von davon gesprochen, dass Apparmor nutzlos ist sondern eher das Problem angesprochen, dass ich für eine ernsthafte und durchgängige Anwendung von AppArmor die Softwareentwickler der jeweiligen Software für gefordert sehe, denn nur diese Wissen welche Zugriffe die Anwendung tatsächlich braucht. Oder sich ein eigenes Team dieser Aufgabe stellt ("Mannschaft"). Wenn das aber nicht erfolgt, dann verliert es über kurz oder lang den eigentlichen Sinn wofür es gemacht wurde und verrostet. (Für gewöhnlich wird Software die nicht genutzt wird, weniger Aufmerksamkeit geschenkt. Das äußerst sich in Form von weniger Updates, im Übrigen auch Sicherheitsupdates)

Bzgl. "Welche Zugriffe die Anwendung tatsächlich braucht:" -> @mludwig: Dabei rede ich nicht von Zugriffe auf irgendwelche Dateien sondern sogenannten Capabilities. Als Experte wirst du mir sicherlich sagen können ob Chromium oder Firefox die Capabilities: dac_override, sys_admin, net_raw, sys_nice benötigt? Ich nehme eher an du weisst nicht einmal, worum es gerade geht.

In jedem Thread gibt es über kurz oder lang solche Clowns die anstatt sich der Thematik zu widmen irgendwelche "Angriffe" gegen andere fahren müssen, wohlbemerkt in völliger Selbstüberschätzung. Ich bin der Meinung, dass man auf soetwas nur in der selben Sprache antworten kann, weshalb dieser Post in der gewählten Form geschrieben wurde. Er spiegelt weder meine Haltung noch meine Persönlichkeit oder meinen Charakter wider, sondern ist bewusst so geschrieben, um @mludwig vielleicht sein eigenes Verhalten näher zu bringen.

Bitte ignoriert diesen Twist und @mludwig, bitte verwässere den Thread nicht weiter mit deiner gewählten Einstellung (alle; du, fischig und ich durften jetzt ihren Senf dazu geben, damit sollte Schluss sein) und wie @irgendwas schon richtig erkannt hat:

Es geht mir grundsätzlich um Meinungen dazu und Nutzungsverhalten.

Ich bitte euch und hoffe eure Meinungen und euer Nutzungsverhalten mit AppArmor zu erfahren.

[debianuser4782]

Bei mir sorgt apparmor hinter der Virtualisierungsschicht von qemu-kvm für eine weitere Sicherheitsschicht bei libvirt. Es scheint auch Bewegung bei der Entwicklung dieser Sicherheitsschicht zu sein:
https://gitlab.com/apparmor/apparmor/-/wikis/Libvirt
https://libvirt.org/drvqemu.html#selinu ... onfinement
https://access.redhat.com/documentation ... inux-svirt

Leider zieht das Paket apparmor bei debian-buster python3 als Abhängigkeit mit. Dies scheint aber bei bullseye nicht mehr der Fall zu sein. Kann das jemand bestätigen?