Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[gelöst] AppArmor Security Notification

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
floezen
Newbie
Newbie
Beiträge: 33
Registriert: 24. Aug 2007, 17:28

[gelöst] AppArmor Security Notification

Beitrag von floezen » 11. Sep 2008, 23:58

Hallo,

ich habe vor einiger Zeit AppArmor auf meinem Rootserver aktiviert, da es sich anhört, als würde es nicht schaden ;)
Nun bekomme ich regelmässig die Security Reports, verstehe aber leider nicht so ganz, was mir damit gesagt wird.

Hier ein Beispielreport:

Code: Alles auswählen

type=APPARMOR_DENIED msg=audit(1220776239.807:90):  type=1503 operation="inode_permission" requested_mask="a" denied_mask="a" name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:91):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="uid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:92):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="gid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:93):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="mode,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
Kann mir jemand sagen, welches Programm an was gehindert wird und ob das so richtig ist, oder ob ein bösartiger Zugriff von AppArmor erfolgreich abgewehrt wurde?

Bei allen Reports die ich bisher bekam, schien es immer um /usr/local/psa/var/log/maillog zu gehen. Sind setattr und inode_permission Programme/Prozesse, die einen Zugriff versuchen, es aber nicht schaffen?

Vielleicht kann mir hier ja jemand weiterhelfen.

Danke & Grüsse
Flözen
Zuletzt geändert von floezen am 18. Sep 2008, 23:21, insgesamt 1-mal geändert.

Werbung:
spoensche
Moderator
Moderator
Beiträge: 7396
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: AppArmor Security Notification

Beitrag von spoensche » 12. Sep 2008, 09:40

floezen hat geschrieben:

Code: Alles auswählen

type=APPARMOR_DENIED msg=audit(1220776239.807:90):  type=1503 operation="inode_permission" requested_mask="a" denied_mask="a" name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:91):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="uid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:92):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="gid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:93):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="mode,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
Kann mir jemand sagen, welches Programm an was gehindert wird und ob das so richtig ist, oder ob ein bösartiger Zugriff von AppArmor erfolgreich abgewehrt wurde?
Das Programm, was keinen Zugriff erhält ist der syslog-ng. syslog-ng ist der Dämon, der die Logfiles schreibt, also kein "bösartiger" Zugriff.
floezen hat geschrieben: Bei allen Reports die ich bisher bekam, schien es immer um /usr/local/psa/var/log/maillog zu gehen. Sind setattr und inode_permission Programme/Prozesse, die einen Zugriff versuchen, es aber nicht schaffen?
inode_permission heisst das er auf den Inode in diesem Block des Dateisystems nicht zugreifen darf. Ja setattr ist ein Programm, wo mit du verschiedene Attribute einer Datei setzen kannst.

Ich vermute das du die Dateirechte auf "nur lesen" hast, der Syslog deswegen nicht schreiben kann und du deshalb diesen Report bekommst. Entweder ist die Partition als nur lesend gemountet oder du hast das in deinem AppArmor Profil so eingestellt oder die Zugriffsrechte sind so gesetzt.

Poste mal die Ausgabe von

Code: Alles auswählen

ls -l  /usr/local/psa/var/log/maillog

floezen
Newbie
Newbie
Beiträge: 33
Registriert: 24. Aug 2007, 17:28

Re: AppArmor Security Notification

Beitrag von floezen » 12. Sep 2008, 21:57

Hmm, das mit dem Output ist einfach wenn man sich das Verzeichnis ansieht:

Code: Alles auswählen

rw-r-----  1 root   root          0 Sep  3 23:25 maillog
-rw-r-----  1 root   root   10294024 Aug  4 00:03 maillog.processed
-rw-r--r--  1 root   root    8555656 Aug  2 00:04 maillog.processed.1.gz
-rw-r--r--  1 root   root    1751630 Jul 30 00:03 maillog.processed.2.gz
Ich überlege, ob ich erst um den 4. August AppArmor gestartet haben, weiß es aber nicht mehr...

Also irgendetwas muss ich wohl ändern.
Vermutlich in AppArmor den Zugriff erlauben, oder?!

spoensche
Moderator
Moderator
Beiträge: 7396
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: AppArmor Security Notification

Beitrag von spoensche » 13. Sep 2008, 13:14

Was verwendest du für ein Dateisystem? setattr und chattr funktioniert nur bei ext2 und ext3. Sieh dir mal das Profil von AppArmor an was aktiv ist.

floezen
Newbie
Newbie
Beiträge: 33
Registriert: 24. Aug 2007, 17:28

Re: AppArmor Security Notification

Beitrag von floezen » 14. Sep 2008, 19:01

Ich konnte zwar nicht herausfinden, wo der Dateityp in AppArmor angezeigt wird, aber mount meldet:

Code: Alles auswählen

/dev/sda3 on / type ext3 (rw,acl,user_xattr,usrquota)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
debugfs on /sys/kernel/debug type debugfs (rw)
udev on /dev type tmpfs (rw)
devpts on /dev/pts type devpts (rw,mode=0620,gid=5)
/dev/sda1 on /boot type ext3 (rw,acl,user_xattr)
securityfs on /sys/kernel/security type securityfs (rw)

spoensche
Moderator
Moderator
Beiträge: 7396
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: AppArmor Security Notification

Beitrag von spoensche » 15. Sep 2008, 11:30

Poste mal die Ausgabe von

Code: Alles auswählen

lsattr /usr/local/psa/var/log/maillog
.

floezen
Newbie
Newbie
Beiträge: 33
Registriert: 24. Aug 2007, 17:28

Re: AppArmor Security Notification

Beitrag von floezen » 15. Sep 2008, 21:56

Code: Alles auswählen

server:~ # lsattr /usr/local/psa/var/log/maillog
-------------- /usr/local/psa/var/log/maillog

spoensche
Moderator
Moderator
Beiträge: 7396
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: AppArmor Security Notification

Beitrag von spoensche » 16. Sep 2008, 11:21

Die Dateiattribute sibnd völlig in Ordnung. Es kann also nur an dem AppArmor Profil liegen. Du musst im AppArmore Profil dem syslog-ng Lese- und Schreibrechte auf die Datei geben.

floezen
Newbie
Newbie
Beiträge: 33
Registriert: 24. Aug 2007, 17:28

Re: AppArmor Security Notification

Beitrag von floezen » 18. Sep 2008, 22:55

Vielen Dank spoensche!
Es scheint jetzt alles richtig zu funktionieren.


Grüsse
Flözen

spoensche
Moderator
Moderator
Beiträge: 7396
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: AppArmor Security Notification

Beitrag von spoensche » 18. Sep 2008, 22:58

Gern geschehen. Markeire den Thread noch als gelöst, wenn das Problem gelöst ist.

Deinen ersten Beitrag editieren, dann im Titel ein [gelöst] einsetzen.

Antworten