Debian Apparmor

[remos]

Ich würde meinen Server gerne mit Apparmor absichern.
Das Problem ist, dass Apparmor nach http://bugs.debian.org/cgi-bin/bugrepor ... =661151#83 selbst in Testing nicht richtig zu funktionieren scheint.

Nimmt man jetzt einen Kernel von Kernel.org und erstellt
sich einen eigenen Kernel mit Apparmor Kompatibilität,
funktioniert zwar Apparmor, allerdings fehlen dann
die Debian-Patches. Außerdem wird dadurch der
Aufwand bei Kernel-Updates erhöht.

Nimmt man den Debian-Kernel und wendet die entsprechenden
Patches an, tritt nach make deb-pkg
folgender Fehler auf:
security/built-in.o: In function apparmor_socket_create
security/apparmor/lsm.c:635: undefined reference to aa_revalidate_sk

make[2]: *** [.tmp_vmlinux1] Fehler 1
make[1]: *** [deb-pkg] Fehler 2
make: *** [deb-pkg] Fehler 2

Gibt es eine Möglichkeit Apparmor unter Debian zu nutzen ohne den Update-Aufwand bei Kernel-Updates zu erhöhen?

[Joe User]

Dem Bugreport nach, ist Debian noch nicht für AppArmor geeignet und auch bei Ubuntu scheint es nicht rund zu laufen.

Ich würde Dir daher eine Distro empfehlen, welche AppArmor schon seit Jahren production-ready hat und das wäre zum Beispiel (open)SUSE.

[daemotron]

Äh, AppArmor wird eigentlich nur noch unter Ubuntu entwickelt und eingesetzt. Novell hat das Zeug schon 2007 eingestellt; danach hat Canonical übernommen. Für Debian würde ich mich mal bei den alternativen MAC-Implementierungen umschauen - für TOMOYO und grsecurity2 gibt es fertige Kernel-Patches in den Debian-Repositories (linux-patch-tomoyo bzw. linux-patch-grsecurity2).