AppArmor - Deaktivieren oder wie verfahren?

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
cggpp
Beiträge: 12
Registriert: 12.05.2020 16:40:14
Wohnort: Wien

AppArmor - Deaktivieren oder wie verfahren?

Beitrag von cggpp » 18.06.2021 23:09:47

Hallo Leute.

AppArmor ist ja im Grunde genommen eine ganz tolle Idee. Nur bedauerliche Weise wird es nicht wirklich genutzt. Es ist eigentlich sehr schade darum.
Die paar Profile die es gibt sind vernachlässigbar und bieten nicht wirklich mehr Sicherheit.
Ob ich jetzt ein Profile für redshift, cupsd or lsb_release in enforce mode laufen lasse, wenn gleich ich aber große Einfallstore zB. Browser wie Chromium und Firefox überhaupt nicht absichere, ist dann schon makulatur.
Die Frage ist daher soll man es abschalten, da ohnehin kaum genutzt?

Wie haltet es ihr damit?

Gruß

Benutzeravatar
smutbert
Moderator
Beiträge: 8319
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von smutbert » 18.06.2021 23:23:33

In Debianapparmor-profiles gibt es Profile für firefox, evolution und viele andere Anwendungen und Dienste, die Debianpakete von thunderbird und libreoffice bringen eigene Profile mit – mir scheint da sind schon sehr viele der gängigen Einfallstore abgedeckt.

(Ich nutze es allerdings trotzdem nicht.)

cggpp
Beiträge: 12
Registriert: 12.05.2020 16:40:14
Wohnort: Wien

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von cggpp » 18.06.2021 23:51:47

Vielen Dank für die Antwort. Es geht mir grundsätzlich um Meinungen dazu und Nutzungsverhalten.
Ich überlege es auch zu deaktivieren - dagegen spricht halt der Grundsatzgedanke: "besser etwas Sicherheit als keine", wobei es sich hier wohl eher um gefühlte Sicherheit als tatsächliche handelt.

Ich kenne die Pakete natürlich. Es gibt dann auch noch das Debianapparmor-profiles-extra, wobei wie in der README schon erwähnt - mit Vorsicht und Argwohn zu genießen.
Die Frage ist natürlich auch ob es vertrauenswürdig ist, wenn da so wenig "liebe" darin steckt.
Ich habe das Profile für Firefox aktiviert aber gab es keinen einzigen Complain. Ob das heisst, dass es perfekt funktioniert oder überhaupt nicht ist natürlich fraglich.

Meiner Ansicht nach wird es zu sehr vernachlässigt, obwohl es einen derart großen Nutzen bringen könnte.
Alternativen gibt es meiner Ansicht nach nicht. Firejail empfinde ich persönlich gesagt als "Bloatware" / aufgeblasen und intransparent.
Mal abgesehen davon dass ich ein Backup von meinem BraveBrowser recovern musste, als ich es einmal probiert habe - weil es das Profile zerschossen hat
(Dass ich Bravebrowser bereits vor längeren wegen Sicherheitsmängel entfernt habe, ist ein anderes Thema)

Bubblewrap wäre gut aber ein Script dafür perfekt hinzubekommen ist auch eine Mammutaufgabe.
Zuletzt geändert von cggpp am 19.06.2021 10:13:40, insgesamt 1-mal geändert.

fischig
Beiträge: 3601
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von fischig » 19.06.2021 07:53:19

Soweit ich sehe, gibt es keinerlei an gängigen, sicherheitsrelevanten Anwendungen orientierte Anleitungen, insbesondere keine deutschsprachigen, für die Benutzung dieses Tools. Insofern bei mir als EDV-Laie: mittlerweile wieder deinstalliert. Ich weiß nicht, was ich damit soll.

Zwei abschreckende Beispiele:
https://debian-handbook.info/browse/de- ... armor.html
https://wiki.ubuntuusers.de/AppArmor/

tijuca
Beiträge: 296
Registriert: 22.06.2017 22:12:20

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von tijuca » 19.06.2021 09:22:57

Und was ist daran abzuschreckend?

AppArmor ist keine klassische Anwendung, es ist ähnlich wie eine klassische Firewall oder Content Filtering System eine Art Zwischenlayer der Zugriffe auf Prozesse oder Ressourcen verhindert die potentiell gefährlich sein könnten.

Das es keine Information im großen weiten Internet gibt, die erklären was AppArmor ist (und was nicht) halte ich für ein Gerücht. :wink:

cggpp
Beiträge: 12
Registriert: 12.05.2020 16:40:14
Wohnort: Wien

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von cggpp » 19.06.2021 10:21:57

Also es gibt meiner Ansicht nach viele Erklärungen, Tutorials etc. die den Gebrauch bzw. die Erstellung der sogenannten Profile erklärt. Die beiden aufgeführten Links finde ich da nicht so schlecht.

Im Grunde genommen ist es so, dass du mit dem Complain Mode die gewünsche Anwendung trackst und schaust was er von sich gibt. Es gibt sogar ein Tool, das dir ein Profil erstellt. Wenn ich mich richtig erinnere aa-genprof. Das Tool gibt dir bei jedem Zugriff die Möglichkeit zu entscheiden, ob du die gerade durchgeführte Aktion "profilen", akzeptieren, blockieren etc. möchtest. Aber nun triff mal die richtige Entscheidung .....

Ein weiteres Problem daran ist im Anschluss. Du musst nämlich wissen wie du das generierte Profile dann entsprechend einschränkst. Und hierbei beginnt die nächste Qual der Wahl..

Wenn du nicht gerade ein Entwickler oder Spezialist der betreffenden Anwendung bist, dann kannst du nämlich nur raten was die Software wirklich braucht und wobei es sich um einen ungerechtfertigten Zugriff handelt.

Im schlimmsten Fall konfigurierst du AppArmor, dass er Zugriffe auf Informationen beschränkt, die für die richtige Ausführung der Anwendung mitunter sogar essenziell sind. Dann funktioniert hinten und vorne nichts mehr.

Es handelt sich quasi um ein Kriegsschiff wozu es aber keine eingeschulte Mannschaft gibt... De facto unnötig und wird es irgendwann verrosten.

Im Übrigen, weil @smurtbert meinte, dass einige Anwendungen Profile mitliefern. Hilft natürlich viel, wenn LibreOffice Profile mitliefert und diese dann maximal in der Complain Mode laufen, weil sie sich mitunter selbst nicht sicher sind, dass die Profile richtig konfiguriert wurden. Ein ziemlicher Jammer soetwas.

Code: Alles auswählen

2 processes are in complain mode.
   /usr/lib/libreoffice/program/oosplash (42325) libreoffice-oopslash
   /usr/lib/libreoffice/program/soffice.bin (42341) libreoffice-soffice

fischig
Beiträge: 3601
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von fischig » 19.06.2021 11:52:38

tijuca hat geschrieben:Das es keine Information im großen weiten Internet gibt, die erklären was AppArmor ist (und was nicht) halte ich für ein Gerücht. :wink:
Ich habe nicht behauptet, dass es keine Informationen im Internet gibt.
tijuca hat geschrieben:Und was ist daran abzuschreckend?
Wenn's dir im Zusammenhang mit meiner These nicht auffällt, vermag ich nicht zu antworten.

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von mludwig » 19.06.2021 16:16:34

Ich betreibe einen DNS-Server damit, und habe bind entsprechend mit apparmor abgesichert. Da dieser Server ausschließlich DNS-Dienste nach außen anbietet, finde ich schon dass es eine erhöhte Sicherheit bietet. Lücken in bind gibt es gelegentlich, und hierdurch gibt es für eventuelle Angreifer eine weitere Hürde, die es zu überwinden gilt. Die Einrichtung war nach meinem Empfinden kinderleicht - es gab ein mitgeliefertes Profil. Dieses lief zunächst im complain-Mode. Eine notwendige Anpassung - da ich die Logdateien nicht in die vom Paketbetreuer vorgesehenen Pfade schreibe - und seitdem läuft es ohne Probleme.

Einer der Fälle wo man mal über den eigenen Tellerrand hinausschauen sollte. Nur weil man etwas selbst nicht braucht bzw. versteht, ist es (nicht) gleich nutzlos.

fischig
Beiträge: 3601
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von fischig » 19.06.2021 19:49:36

mludwig hat geschrieben:Nur weil man etwas selbst nicht braucht bzw. versteht, ist es (nicht) gleich nutzlos.
Falls das an mich geht: Auch das habe ich nirgends behauptet.
Einer der Fälle wo man mal über den eigenen Tellerrand hinausschauen sollte.
Schon mal über deinen Tellerrand "hinausgeschaut"?

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von mludwig » 19.06.2021 22:15:40

fischig hat geschrieben: ↑ zum Beitrag ↑
19.06.2021 19:49:36
mludwig hat geschrieben:Nur weil man etwas selbst nicht braucht bzw. versteht, ist es (nicht) gleich nutzlos.
Falls das an mich geht: Auch das habe ich nirgends behauptet.
Einer der Fälle wo man mal über den eigenen Tellerrand hinausschauen sollte.
Schon mal über deinen Tellerrand "hinausgeschaut"?
Ich weiss nicht, warum du dich angegriffen fühlst, aber wenn du dir den Schuh anziehen willst ...

Ich bezog mich eher auf die Aussagen von cggpp, wonach dass ganze in Richtung verrostetes Kriegsschiff geht, wegen mangelnder Doku und so ... darauf bezog sich sowohl das Nutzlos als auch der Tellerrand.

irgendwas
Beiträge: 278
Registriert: 04.04.2016 18:53:19
Lizenz eigener Beiträge: MIT Lizenz

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von irgendwas » 19.06.2021 23:20:23

cggpp hat geschrieben: ↑ zum Beitrag ↑
18.06.2021 23:51:47
Es geht mir grundsätzlich um Meinungen dazu und Nutzungsverhalten.
Auf meinem Server und seinen VMs nutze ich AppArmor sehr gerne und für alle Anwendungen. Auf dem Client sieht es etwas anders aus, dort für die wichtigen Dinge. Beispiel: Filezilla brauch ich nicht absichern.

Wenn man das Konzept verstanden hat, sind die mitgelieferten Profile unnötig. AppArmor ist keine Anwendung, die man nur installiert und anschließend nichts mehr machen muss.

cggpp
Beiträge: 12
Registriert: 12.05.2020 16:40:14
Wohnort: Wien

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von cggpp » 20.06.2021 10:39:51

@fischig: Ich bin eigentlich auch davon ausgegangen, dass er dich meinte und habe diese Nachricht deshalb bewusst ignoriert, denn seine Aussagen passen nicht mal annähernd zu meinen Nachrichten (die meine Ansichten widerspiegeln). Da er ja nun deutlich gemacht hat, dass er mich damit meint, möchte ich selbstverständlich die Gelegenheit nutzen, ausführlich darauf eingehen und mitunter die Sache für den ein oder anderen richtigstellen:

Zunächst mal freut es mich, dass mir ein selbsternannter Sicherheitsexperte, der es offensichtlich gerade mal geschafft hat, ein mitgeliefertes Apparmor-Profil um drei Zeilen/Pfade in der Form "/var/xyz/private/path/log rw" zu erweitern und sich damit in der Position sieht, mich, einen jahrelangen Sicherheitsbeauftragten und Unterstützer des Projekts "apparmor-profile-everything" Unverständnis der Sache zu attestiert und mir rät, über den Tellerrand hinaus zu schauen. Lustig ist auch, dass er es besonders erwähnt, dass er es als leicht empfunden hat zwei Zeilen und Befehle zu nutzen. Wohlbemerkt er vom Anpassen eines Profiles für eine Mickeymouse Anwendung redet und es sich bei meinen Belangen um die Profileerstellung für sämtliche vorhandene Software für Linux dreht.
Ob er damit seinen Server tatsächlich mehr abgesichert hat oder nicht kann er wohl nicht eindeutig sagen, aber hauptsache sein subjektives Sicherheitsempfinden wurde damit gesteigert - ich nehme mal an seine Umask wird wohl weiterhin 022 sein.

Noch dazu dürfte @mludwig nicht lesen können, denn ich habe mit keinem Wort von mangelnder Doku gesprochen eher das Gegenteil - geantwortet auf @fischig:
Also es gibt meiner Ansicht nach viele Erklärungen, Tutorials etc. die den Gebrauch bzw. die Erstellung der sogenannten Profile erklärt. Die beiden aufgeführten Links finde ich da nicht so schlecht.
Wie er darauf kommt oder sich das zusammenreimt ist mir ein Rätsel. Darüber hinaus habe ich sogar die Vorgehensweise für ein neues Profil und die Problematik beschrieben, womit eigentlich davon auszugehen ist, dass ich mich mit der Thematik bestens auskenne.

Ebenso habe ich mit keinem Wort von davon gesprochen, dass Apparmor nutzlos ist sondern eher das Problem angesprochen, dass ich für eine ernsthafte und durchgängige Anwendung von AppArmor die Softwareentwickler der jeweiligen Software für gefordert sehe, denn nur diese Wissen welche Zugriffe die Anwendung tatsächlich braucht. Oder sich ein eigenes Team dieser Aufgabe stellt ("Mannschaft"). Wenn das aber nicht erfolgt, dann verliert es über kurz oder lang den eigentlichen Sinn wofür es gemacht wurde und verrostet. (Für gewöhnlich wird Software die nicht genutzt wird, weniger Aufmerksamkeit geschenkt. Das äußerst sich in Form von weniger Updates, im Übrigen auch Sicherheitsupdates)

Bzgl. "Welche Zugriffe die Anwendung tatsächlich braucht:" -> @mludwig: Dabei rede ich nicht von Zugriffe auf irgendwelche Dateien sondern sogenannten Capabilities. Als Experte wirst du mir sicherlich sagen können ob Chromium oder Firefox die Capabilities: dac_override, sys_admin, net_raw, sys_nice benötigt? Ich nehme eher an du weisst nicht einmal, worum es gerade geht.

In jedem Thread gibt es über kurz oder lang solche Clowns die anstatt sich der Thematik zu widmen irgendwelche "Angriffe" gegen andere fahren müssen, wohlbemerkt in völliger Selbstüberschätzung. Ich bin der Meinung, dass man auf soetwas nur in der selben Sprache antworten kann, weshalb dieser Post in der gewählten Form geschrieben wurde. Er spiegelt weder meine Haltung noch meine Persönlichkeit oder meinen Charakter wider, sondern ist bewusst so geschrieben, um @mludwig vielleicht sein eigenes Verhalten näher zu bringen.

Bitte ignoriert diesen Twist und @mludwig, bitte verwässere den Thread nicht weiter mit deiner gewählten Einstellung (alle; du, fischig und ich durften jetzt ihren Senf dazu geben, damit sollte Schluss sein) und wie @irgendwas schon richtig erkannt hat:
Es geht mir grundsätzlich um Meinungen dazu und Nutzungsverhalten.
Ich bitte euch und hoffe eure Meinungen und euer Nutzungsverhalten mit AppArmor zu erfahren.

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: AppArmor - Deaktivieren oder wie verfahren?

Beitrag von debianuser4782 » 21.06.2021 20:24:18

Bei mir sorgt apparmor hinter der Virtualisierungsschicht von Debianqemu-kvm für eine weitere Sicherheitsschicht bei libvirt. Es scheint auch Bewegung bei der Entwicklung dieser Sicherheitsschicht zu sein:
https://gitlab.com/apparmor/apparmor/-/wikis/Libvirt
https://libvirt.org/drvqemu.html#selinu ... onfinement
https://access.redhat.com/documentation ... inux-svirt

Leider zieht das Paket Debianapparmor bei debian-buster Debianpython3 als Abhängigkeit mit. Dies scheint aber bei bullseye nicht mehr der Fall zu sein. Kann das jemand bestätigen?

Antworten