• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[]AntiVir oder Apparmor?

revealed

Guru
Hi ihr :)

habe SUSE 10.1. Dachte mir Hmm joa machst ja auch viel mit Windows usw...

da muss nen Virenscanner im Linux her, damit auch die Files für Windows im Linux sauber sind.

Sache ist, es gibt "Apparmor" und beispielsweise AntiVir.

Der Antivir lässt sich nicht gleichzeitig mit Apparmor laden, weil eines von beiden meint, Platzhirsch sein zu müssen, kurz gesagt.

Jetz kenn ich mich mit Apparmor aber nicht so gut aus und kann nicht wirklich für mich entscheiden, ob AntiVir oder Apparmor besser geeignet ist für mein System oder ob ich besser gesagt, weil AntiVir gerade läuft und Apparmor deswegen fehlschlägt beim boot, ob ich lieber AntiVir wieder deaktiviern sollte und Apparmor den Vorrang lasse.

Help!

:hilfe

edit: Also das mit Apparmor und dazuko gleichzeitig scheint ein Bug zu sein, aber bis das dann geht, kann ich irgendwie nicht ausloten, was wichtiger ist. Wie ist euere Meinung`? /edit

gruss

R
 

Grothesk

Ultimate Guru
AppArmor ist kein Virenscanner.
Wenn du also die Windowsdateien auf Virenscannen willst, ist die Sache klar.
 
OP
revealed

revealed

Guru
danke ich hab gerade herausgefunden:

http://www.dazuko.org/index.shtml

Ehm Apparmor und dazuko gleichzeitig könnte auch bald funktionieren in der nächsten Version von dazuko.

15 Nov 2006

A name cache leak in the Linux 2.2/2.4 port (as well as for Linux 2.6 when configured with --enable-syscalls) was discovered and fixed. This was an important fix. If you are running Dazuko for these systems, you will be affected by this problem. Another problem with Dazuko not working as an LSM secondary module for Linux 2.6 was also discovered and fixed. As a result, 2.3.2-pre2 has been posted.

ich hab mit der Syscalls option kompiliert aber Apparmor und dazuko gleichzeitig ging trotzdem nicht.

Danke nochmal.

gruss

R
 

spezi

Advanced Hacker
Guten Morgen,
Mich würde interessieren ob Du dazuko nach der Anleitung im README.linux26 eingerichtet hast ? Da gibt es doch auch eine Sonderbehandlung für smp Kernel. (function d_path). Ich komme zur Zeit leider nicht dazu, das auszuprobieren.

mfg
spezi
 
OP
revealed

revealed

Guru
VORSICHT BITTE NICHT NACHMACHEN MIT SMP!

Moin :)

zwecks genauerer Reproduzierung:

Ich verwende auch die "SUSE 10.1 Stable Release" und auch die "Dazuko (stable), weil ich mir über eventuelle Betaprobleme im Klaren bin, auch wenn ich gern eine Jmicron.c (ko) in die Finger bekommen würde, um eventuell einen Kernelpatch zu versuchen? Geht der Unter SUSE hat jemand eine?

ich verwende im SUSE - "Kernel SMP". Habe diesbezüglich von einem "SUSE FTP" die passende dazuko, AntiVir und Fontend (GUI) rpm´s geladen und installiert. Diese verweigerten den Dienst.

die dazuko gebaut habe ich aus der Dazuko 3.2.1 (stable) von der Dazuko home: http://www.dazuko.org/index.shtml
http://www.dazuko.org/howto-install.shtml <- howto Install?
allerdings, bei dem Schritt "./configure" aus der Anleitung zu dazuko habe ich die Option:

Code:
./configure --enable-syscalls --mapfile=/boot/System.map-2.6.16.21-0.25-smp
verwendet.

Das hat Apparmor und Dazuko jedoch nicht zum gleichzeitigen Arbeiten verholfen.

und eben nach Howto:
http://forum.antivir.de/thread.php?postid=122447#post122447

Den Bootloader noch konfiguriert.

Und nach howto:
http://www.linux-club.de/ftopic48455.html

hab ich den Virenscanner auf On acess eingerichtet.

Bei der Installation von Anti Vir habe ich eine Version von der AntiVir Homepage verwendet. Das einzig Fehlende sind die Icons im Autostart - sag ich mal - aber da gibts ja: "
Code:
antivir-gui
"

War es das?

ich überleg gerade ob man bei "modules loaded on boot" apparmor mit eintragen könnte? Und das dann die gleichzeitig Ladeproblematik behebt?

habe gerade mal bei:

Code:
nano /etc/sysconfig/kernel
die geänderte Zeile:
MODULES_LOADED_ON_BOOT="dazuko capability"
eben diese Zeile in
MODULES_LOADED_ON_BOOT="dazuko capability apparmor"
abgeändert.

mal schauen ob es etwas bringt.

Ergebnis /var/log/bootmsg:
Activating device mapper...
done
Loading required kernel modules
FATAL: Error inserting apparmor (/lib/modules/2.6.16.21-0.25-smp/kernel/security/apparmor/apparmor.ko): Resource temporarily unavailable
<4>dazuko: module not supported by Novell, setting U taint flag.
<6>dazuko: info: using chroot events for chroot'd processes
<6>dazuko: loaded, version=2.1.1
<6>Capability LSM initialized as secondary
<4>AppArmor: Unable to load AppArmor
Starting AntiVir: avupdaterAntiVir / Linux Version 2.1.8-61
Copyright (c) 2006 by Avira GmbH.
All rights reserved.

AntiVir Automatic Internet Updater

status: active
update: every 24 hours at 4:23

done
Starting AntiVir: avguard-workstationdone

http://de.opensuse.org/Apparmor_Details#Sicherheit_durch_LSM:_Linux_Security_Modules_Schnittstelle

Verstehe ich richtig, das Apparmor LSM verwendet, Syscalls eigendlich eher ein Sicherheitslack ist und das damit foobarschnell gearbeitet werden kann eine andere Schnittstelle von AntiVir verwendet werden müsste. Und das ich irgendwie glück hatte, weil Syscalls eigendlich garnicht vorhanden ist im Kernel oder am rausgeworfen werden ist?

@Spezi:
Sonderbehandlung für smp Kernel. (function d_path)

Wie meinst du das? Kannst du mir da etwas zu lesen geben?

ok bei mir ist "t __d_path" heisst das jetz bei mir läufts nicht? Weil kompiliert hab ich dazuko damit nicht. Aber der Virenscanner macht. 0o?
Sollt ich Antivir doch lieber wieder schleunigst loswerden? Weil Ich weiss grad nicht auf schnelle wie ich die Ausgabe einbau in den Kernel also ich kann das nicht selber. Prinzipiell müsste es ja gehen

Laut der Readme eben:

If you are running an SMP kernel and __d_path() is not exported, then you
will have to modify your kernel source code to export the symbol and
rebuild your kernel. The modification is very simply and can be made by
using the included patch to modify the fs/dcache.c file. Here is an example:

$ patch /lib/modules/`uname -r`/build/fs/dcache.c patch_dpath.diff

Also wie müsste ich das dann machen? Kernel backen mit Patch? Und dann dazuko neubauen mit

Code:
./configure --enable-syscalls --mapfile=/boot/System.map-2.6.16.21-0.25-smp --sct-readonly --disable-local-dpath

weil

If your kernel is SMP then you should _not_ use Dazuko's copy of __d_path().
You can disable Dazuko's local copy of __d_path() by configuring Dazuko.

Also wie mache ich beim SMP Kernel, damit er dpath exportiert?

habe derweil mal komplett AntiVir und dazuko wieder runtergehaut und Apparmor wieder ma Laufen.

Gruss

R
 
OP
revealed

revealed

Guru
Verstehe ich jetzt richtig? dazuko kann nicht compilieren, weil common cap nicht existiert beim SMP bzw schon integriert ist, aber dpath rückt nicht heraus mit dem was dazuko von common cap brauchen würde, um wiederum mit dazuko perfekt arbeiten zu können?

Dann währe ja sowieso, wenn Common Cap ohne dpath mit LSM und dazuko arbeiten würde, also entsprechend währe das ein Sicherheitsloch.

Aber angenommen dpath würde mit dazuko bei mir reden und beide währen auch gleichzeitig an, also common cap und apparmor (LSM) dann währe es doppelt so sicher.

Also wenn dazuko läuft aber kein dpath hat, ist die Kernel wenn Apparmor nicht läuft quasi von einem Virenscanner geschützt. Aber dieser ist eigendlich für Windowsanfälligkeiten eher geeignet? Aber Apparmor ist eher für Linux Probleme zuständig.

Dann hätte ich mir selber quasi ein Bein im Sinne Sicherheitslücke aufgerissen. Das ist aber nur bei SMP Kernel oder?

Ich hab Apparmor an und Antivir und dazuko komplett runter.

:help:

gruss

R
 
Oben