Apparmor endgültig verbannen?

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
Benutzeravatar
petrolman
Beiträge: 42
Registriert: 20.05.2010 14:54:22

Apparmor endgültig verbannen?

Beitrag von petrolman » 11.09.2019 21:29:11

Hallo,

mit einem müden Auge habe ich noch im letzten Moment gesehen, dass mir der Paketmanager apparmor wieder installieren möchte. Ich dachte eigentlich, dass ich das Teil bereits restlos deinstalliert habe und zwar gleich zu Beginn der Einrichtung als eines der ersten Schritte:

# history | grep appar
7 systemctl stop apparmor
8 update-rc.d -f apparmor remove
9 aptitude purge apparmor apparmor-utils
10 rm -r /var/cache/apparmor /etc/apparmor.d

# grep -nri "apparmor" /etc/
Binary file /etc/ld.so.cache matches

# dpkg -l apparmor
[...]
+++-==============-============-============-=================================
un apparmor <none> <none> (no description available)


Und nun bei einem Systemupdate
# aptitude update && aptitude safe-upgrade
...

Resolving dependencies...
The following NEW packages will be installed:
apparmor{a} linux-image-4.19.0-6-amd64{a}
The following packages will be upgraded:

Gibt es noch irgendwo eine Einstellungsmöglichkeit, damit bestimmte Pakete nicht installiert werden?

DeletedUserReAsG

Re: Apparmor endgültig verbannen?

Beitrag von DeletedUserReAsG » 11.09.2019 21:35:01

Du könntest einfach auf die Pakete verzichten, die’s als Abhängigkeit mitziehen.

Benutzeravatar
petrolman
Beiträge: 42
Registriert: 20.05.2010 14:54:22

Re: Apparmor endgültig verbannen?

Beitrag von petrolman » 11.09.2019 21:38:10

Und wie finde ich heraus, welches der vielen Pakete beim Update ein Abhängigkeit haben? Muss ich jedes Paket einzeln durchgehen?

Benutzeravatar
petrolman
Beiträge: 42
Registriert: 20.05.2010 14:54:22

Re: Apparmor endgültig verbannen?

Beitrag von petrolman » 11.09.2019 21:41:21

Ok, ich sehe schon mit
apt-cache depends apparmor

Benutzeravatar
smutbert
Moderator
Beiträge: 8316
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Apparmor endgültig verbannen?

Beitrag von smutbert » 11.09.2019 21:42:54

apparmor wird vom Kernel empfohlen. Du könntest mit

Code: Alles auswählen

APT::Install-Recommends "0";
in einer Textdatei in »/etc/apt/apt.conf.d« festlegen, dass empfohlene Pakete generell nicht mehr automatisch installiert werden sollen, was sich dann natürlich in Zukunft auch auf andere Pakete auswirkt die du installierst.


Oder du könntest mit Debianequivs ein Dummypaket erstellen, das apparmor als "Provides" enthält, damit die Abhängigkeit auch ohne das echte apparmor erfüllt zu sein scheint. Das Paket nennst du dann aber sinnvollerweise nicht apparmor damit es nicht vom echten apparmor ersetzt werden kann.


Oder du könntest wahrscheinlich auch mit Pinning dafür sorgen, dass das Paket nicht installiert wird. Mit einer Textdatei in » /etc/apt/preferences.d« mit dem Inhalt

Code: Alles auswählen

Package: apparmor
Pin: release *
Pin-Priority: -1
dürfte das Paket ebenfalls nicht mehr installiert werden.

Benutzeravatar
petrolman
Beiträge: 42
Registriert: 20.05.2010 14:54:22

Re: Apparmor endgültig verbannen?

Beitrag von petrolman » 11.09.2019 22:01:00

Vielen Dank. Ich habe die Datei /etc/apt/preferences.d/apparmor mit dem Pinning Inhalt angelegt. Es wurde beim Update nicht installiert. Glück gehabt. Ich bekomme in einer Mailingliste seit Tagen mit, welche Probleme das Ding bereiten kann und zulässige Operationen einfach verhindert.

tijuca
Beiträge: 296
Registriert: 22.06.2017 22:12:20

Re: Apparmor endgültig verbannen?

Beitrag von tijuca » 12.09.2019 19:39:08

Das ist auch eben quasi der Sinn von AppArmor. Alles was nicht auf einer Liste steht das die Ausführung bzw. Aufruf erlaubt ist wird geblockt. Also so wie auch eine Firewall arbeitet. Ergo muss alles was benutzbar sein soll per AA Profil erlaubt werden. Um AA tunen zu können gibt es auch einen Modus wo AA nur "meckert" (complaining mode) die Ausführung aber trotzdem erlaubt. Und man kann auch noch einzelne AA Profile deaktivieren.

AppArmor ist wie SELinux eigentlich ein Sicherheitsgewinn, aber wie alle Tools in der Richtung kommt es auf eine gute und sinnvolle Konfiguration an.

Antworten