Debian Apparmor

remos
Posts: 1
Joined: 2012-08-17 15:34

Debian Apparmor

Post by remos »

Ich würde meinen Server gerne mit Apparmor absichern.
Das Problem ist, dass Apparmor nach http://bugs.debian.org/cgi-bin/bugrepor ... =661151#83 selbst in Testing nicht richtig zu funktionieren scheint.

Nimmt man jetzt einen Kernel von Kernel.org und erstellt
sich einen eigenen Kernel mit Apparmor Kompatibilität,
funktioniert zwar Apparmor, allerdings fehlen dann
die Debian-Patches. Außerdem wird dadurch der
Aufwand bei Kernel-Updates erhöht.

Nimmt man den Debian-Kernel und wendet die entsprechenden
Patches an, tritt nach make deb-pkg
folgender Fehler auf:
security/built-in.o: In function apparmor_socket_create
security/apparmor/lsm.c:635: undefined reference to aa_revalidate_sk

make[2]: *** [.tmp_vmlinux1] Fehler 1
make[1]: *** [deb-pkg] Fehler 2
make: *** [deb-pkg] Fehler 2

Gibt es eine Möglichkeit Apparmor unter Debian zu nutzen ohne den Update-Aufwand bei Kernel-Updates zu erhöhen?
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Debian Apparmor

Post by Joe User »

Dem Bugreport nach, ist Debian noch nicht für AppArmor geeignet und auch bei Ubuntu scheint es nicht rund zu laufen.

Ich würde Dir daher eine Distro empfehlen, welche AppArmor schon seit Jahren production-ready hat und das wäre zum Beispiel (open)SUSE.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Debian Apparmor

Post by daemotron »

Äh, AppArmor wird eigentlich nur noch unter Ubuntu entwickelt und eingesetzt. Novell hat das Zeug schon 2007 eingestellt; danach hat Canonical übernommen. Für Debian würde ich mich mal bei den alternativen MAC-Implementierungen umschauen - für TOMOYO und grsecurity2 gibt es fertige Kernel-Patches in den Debian-Repositories (linux-patch-tomoyo bzw. linux-patch-grsecurity2).
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Top

Who is online

Users browsing this forum: Istella [Bot] and 1776 guests