AppArmor - Complain mode liefert keine Logs
Verfasst: 17.04.2017 21:06:03
Hallo Zusammen,
ich betreibe einen kleinen Server mit einem speziell kompelierten Debian. Der Kernel wurde speziell mit den entsprechenden AppArmor flags kompiliert.
AppArmor funktioniert im enforce modus einwandfrei und liefert auch die entsprechenden Logeinträge. Das Problem sind allerdings Andwendungen, die im complain context laufen.
Die Anwendungen funktionieren einwandfrei, es werden jedoch aus mir nicht ersichtlichen Gründen keine Logeinträge geschrieben (auditd ist installiert). Beim Durchschauen der Logs konnte ich keinen einzigen Eintrag, der sich auf eine Anwendung im complain context befindet finden.
Durch diesen Umstand funktionieren die darauf aufbauenden apparmor-utils (aa-logprof etc.) natürlich nicht, wodruch die korrekte Profilerstellung extrem erschwert wird.
Hat jemand schon bereits ein ähnliches Problem gehabt? Ich wäre für jeden Hinweis dankbar.
Besten Dank vorab und Gruß!
Viktor
ich betreibe einen kleinen Server mit einem speziell kompelierten Debian. Der Kernel wurde speziell mit den entsprechenden AppArmor flags kompiliert.
AppArmor funktioniert im enforce modus einwandfrei und liefert auch die entsprechenden Logeinträge. Das Problem sind allerdings Andwendungen, die im complain context laufen.
Die Anwendungen funktionieren einwandfrei, es werden jedoch aus mir nicht ersichtlichen Gründen keine Logeinträge geschrieben (auditd ist installiert). Beim Durchschauen der Logs konnte ich keinen einzigen Eintrag, der sich auf eine Anwendung im complain context befindet finden.
Durch diesen Umstand funktionieren die darauf aufbauenden apparmor-utils (aa-logprof etc.) natürlich nicht, wodruch die korrekte Profilerstellung extrem erschwert wird.
Hat jemand schon bereits ein ähnliches Problem gehabt? Ich wäre für jeden Hinweis dankbar.
Besten Dank vorab und Gruß!
Viktor
Code: Alles auswählen
### Systemdetails ###
Kernelversion: 4.9.20
apparmorversion: 2.10.95
apparmor-utils Version: 2.10.95
### aa-status ###
# aa-status
apparmor module is loaded.
2 profiles are loaded.
1 profiles are in enforce mode.
/usr/sbin/mysqld
1 profiles are in complain mode.
/usr/sbin/nginx
6 processes have profiles defined.
1 processes are in enforce mode.
/usr/sbin/mysqld (1416)
5 processes are in complain mode.
/usr/sbin/nginx (4897)
/usr/sbin/nginx (4898)
/usr/sbin/nginx (4899)
/usr/sbin/nginx (4900)
/usr/sbin/nginx (4901)
0 processes are unconfined but have a profile defined.
### Kernel Flags ###
CONFIG_SECURITY=y
CONFIG_SECURITYFS=y
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
CONFIG_DEFAULT_SECURITY_APPARMOR=y
CONFIG_DEFAULT_SECURITY="apparmor"
CONFIG_SECCOMP=y
CONFIG_SECCOMP_FILTER=y
CONFIG_AUDIT=y
