[gelöst] AppArmor tut nicht mehr richtig
Verfasst: 28.05.2015 12:23:10
Hallo,
ich habe auf einem meiner Rechner Apparmor laufen, das leider nicht mehr richtig tut. Lange Zeit hat es korrekt funktioniert, aber seit einigen Wochen sieht es nicht mehr (oder nur noch eingeschränkt), was die eingehegten Anwendungen tun. Durch eine Aktualisierung von Wheezy nach Jessie hat sich das Problem leider auch nicht von selbst gelöst ^^
Es ist so, dass bereits existierende Profile gut funktionieren, d. h. die entspr. Programme können sich nur im erlaubten Bereich "bewegen". Deren Aktivitäten werden auch in /var/log/syslog protokolliert, z.B. so:
Das passiert aber nur solange es in den Regeln des Profils auch definiert ist. Macht ein Programm einen Dateizugriff, der bisher nicht vorgesehen war, wird dieser zwar unterbunden (im enforce-Modus) aber nicht protokolliert, sodass man dann mit 'aa-logprof' eine neue Regel definieren könnte. Es ist auch egal, ob sich das Profil im enforce- oder complain-Modus befindet.
Um es auf den Punkt zu bringen: 'aa-logprof' funktioniert nicht mehr, weil fragliche Aktionen nicht mehr in /var/log/syslog auftauchen.
Beim Aufruf bekomme ich bloß:
In der logprof.conf sind sowohl /var/log/syslog als auch var/log/messages als Logfiles definiert.
Ne Idee was hier kaputt sein könnte? Ohne 'aa-logprof' ist das Anlegen von neuen Profilen nämlich ein Riesenkrampf :-/
ich habe auf einem meiner Rechner Apparmor laufen, das leider nicht mehr richtig tut. Lange Zeit hat es korrekt funktioniert, aber seit einigen Wochen sieht es nicht mehr (oder nur noch eingeschränkt), was die eingehegten Anwendungen tun. Durch eine Aktualisierung von Wheezy nach Jessie hat sich das Problem leider auch nicht von selbst gelöst ^^
Es ist so, dass bereits existierende Profile gut funktionieren, d. h. die entspr. Programme können sich nur im erlaubten Bereich "bewegen". Deren Aktivitäten werden auch in /var/log/syslog protokolliert, z.B. so:
Code: Alles auswählen
May 26 18:25:13 machine kernel: [ 4358.090965] audit: type=1400 audit(1432643113.870:630): apparmor="DENIED" operation="open" profile="/usr/bin/evince" name="/usr/share/xfce4/applications/" pid=12833 comm="evince" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0Um es auf den Punkt zu bringen: 'aa-logprof' funktioniert nicht mehr, weil fragliche Aktionen nicht mehr in /var/log/syslog auftauchen.
Beim Aufruf bekomme ich bloß:
Code: Alles auswählen
sudo aa-logprof
Reading log entries from /var/log/syslog.
Updating AppArmor profiles in /etc/apparmor.d.Ne Idee was hier kaputt sein könnte? Ohne 'aa-logprof' ist das Anlegen von neuen Profilen nämlich ein Riesenkrampf :-/
