Hallo,
ich habe vor einiger Zeit AppArmor auf meinem Rootserver aktiviert, da es sich anhört, als würde es nicht schaden
Nun bekomme ich regelmässig die Security Reports, verstehe aber leider nicht so ganz, was mir damit gesagt wird.
Hier ein Beispielreport:
Kann mir jemand sagen, welches Programm an was gehindert wird und ob das so richtig ist, oder ob ein bösartiger Zugriff von AppArmor erfolgreich abgewehrt wurde?
Bei allen Reports die ich bisher bekam, schien es immer um /usr/local/psa/var/log/maillog zu gehen. Sind setattr und inode_permission Programme/Prozesse, die einen Zugriff versuchen, es aber nicht schaffen?
Vielleicht kann mir hier ja jemand weiterhelfen.
Danke & Grüsse
Flözen
ich habe vor einiger Zeit AppArmor auf meinem Rootserver aktiviert, da es sich anhört, als würde es nicht schaden
Nun bekomme ich regelmässig die Security Reports, verstehe aber leider nicht so ganz, was mir damit gesagt wird.
Hier ein Beispielreport:
Code:
type=APPARMOR_DENIED msg=audit(1220776239.807:90): type=1503 operation="inode_permission" requested_mask="a" denied_mask="a" name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:91): type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="uid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:92): type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="gid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:93): type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="mode,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
Kann mir jemand sagen, welches Programm an was gehindert wird und ob das so richtig ist, oder ob ein bösartiger Zugriff von AppArmor erfolgreich abgewehrt wurde?
Bei allen Reports die ich bisher bekam, schien es immer um /usr/local/psa/var/log/maillog zu gehen. Sind setattr und inode_permission Programme/Prozesse, die einen Zugriff versuchen, es aber nicht schaffen?
Vielleicht kann mir hier ja jemand weiterhelfen.
Danke & Grüsse
Flözen