Hallo,
mit einem müden Auge habe ich noch im letzten Moment gesehen, dass mir der Paketmanager apparmor wieder installieren möchte. Ich dachte eigentlich, dass ich das Teil bereits restlos deinstalliert habe und zwar gleich zu Beginn der Einrichtung als eines der ersten Schritte:
# history | grep appar
7 systemctl stop apparmor
8 update-rc.d -f apparmor remove
9 aptitude purge apparmor apparmor-utils
10 rm -r /var/cache/apparmor /etc/apparmor.d
# grep -nri "apparmor" /etc/
Binary file /etc/ld.so.cache matches
# dpkg -l apparmor
[...]
+++-==============-============-============-=================================
un apparmor <none> <none> (no description available)
Und nun bei einem Systemupdate
# aptitude update && aptitude safe-upgrade
...
Resolving dependencies...
The following NEW packages will be installed:
apparmor{a} linux-image-4.19.0-6-amd64{a}
The following packages will be upgraded:
Gibt es noch irgendwo eine Einstellungsmöglichkeit, damit bestimmte Pakete nicht installiert werden?
Apparmor endgültig verbannen?
Re: Apparmor endgültig verbannen?
Du könntest einfach auf die Pakete verzichten, die’s als Abhängigkeit mitziehen.
Re: Apparmor endgültig verbannen?
Und wie finde ich heraus, welches der vielen Pakete beim Update ein Abhängigkeit haben? Muss ich jedes Paket einzeln durchgehen?
Re: Apparmor endgültig verbannen?
Ok, ich sehe schon mit
apt-cache depends apparmor
apt-cache depends apparmor
Re: Apparmor endgültig verbannen?
apparmor wird vom Kernel empfohlen. Du könntest mit
in einer Textdatei in »/etc/apt/apt.conf.d« festlegen, dass empfohlene Pakete generell nicht mehr automatisch installiert werden sollen, was sich dann natürlich in Zukunft auch auf andere Pakete auswirkt die du installierst.
Oder du könntest mit equivs ein Dummypaket erstellen, das apparmor als "Provides" enthält, damit die Abhängigkeit auch ohne das echte apparmor erfüllt zu sein scheint. Das Paket nennst du dann aber sinnvollerweise nicht apparmor damit es nicht vom echten apparmor ersetzt werden kann.
Oder du könntest wahrscheinlich auch mit Pinning dafür sorgen, dass das Paket nicht installiert wird. Mit einer Textdatei in » /etc/apt/preferences.d« mit dem Inhalt
dürfte das Paket ebenfalls nicht mehr installiert werden.
Code: Alles auswählen
APT::Install-Recommends "0";
Oder du könntest mit equivs ein Dummypaket erstellen, das apparmor als "Provides" enthält, damit die Abhängigkeit auch ohne das echte apparmor erfüllt zu sein scheint. Das Paket nennst du dann aber sinnvollerweise nicht apparmor damit es nicht vom echten apparmor ersetzt werden kann.
Oder du könntest wahrscheinlich auch mit Pinning dafür sorgen, dass das Paket nicht installiert wird. Mit einer Textdatei in » /etc/apt/preferences.d« mit dem Inhalt
Code: Alles auswählen
Package: apparmor
Pin: release *
Pin-Priority: -1
Re: Apparmor endgültig verbannen?
Vielen Dank. Ich habe die Datei /etc/apt/preferences.d/apparmor mit dem Pinning Inhalt angelegt. Es wurde beim Update nicht installiert. Glück gehabt. Ich bekomme in einer Mailingliste seit Tagen mit, welche Probleme das Ding bereiten kann und zulässige Operationen einfach verhindert.
Re: Apparmor endgültig verbannen?
Das ist auch eben quasi der Sinn von AppArmor. Alles was nicht auf einer Liste steht das die Ausführung bzw. Aufruf erlaubt ist wird geblockt. Also so wie auch eine Firewall arbeitet. Ergo muss alles was benutzbar sein soll per AA Profil erlaubt werden. Um AA tunen zu können gibt es auch einen Modus wo AA nur "meckert" (complaining mode) die Ausführung aber trotzdem erlaubt. Und man kann auch noch einzelne AA Profile deaktivieren.
AppArmor ist wie SELinux eigentlich ein Sicherheitsgewinn, aber wie alle Tools in der Richtung kommt es auf eine gute und sinnvolle Konfiguration an.
AppArmor ist wie SELinux eigentlich ein Sicherheitsgewinn, aber wie alle Tools in der Richtung kommt es auf eine gute und sinnvolle Konfiguration an.