• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] AppArmor Security Notification

floezen

Newbie
Hallo,

ich habe vor einiger Zeit AppArmor auf meinem Rootserver aktiviert, da es sich anhört, als würde es nicht schaden ;)
Nun bekomme ich regelmässig die Security Reports, verstehe aber leider nicht so ganz, was mir damit gesagt wird.

Hier ein Beispielreport:
Code:
type=APPARMOR_DENIED msg=audit(1220776239.807:90):  type=1503 operation="inode_permission" requested_mask="a" denied_mask="a" name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:91):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="uid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:92):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="gid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:93):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="mode,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"

Kann mir jemand sagen, welches Programm an was gehindert wird und ob das so richtig ist, oder ob ein bösartiger Zugriff von AppArmor erfolgreich abgewehrt wurde?

Bei allen Reports die ich bisher bekam, schien es immer um /usr/local/psa/var/log/maillog zu gehen. Sind setattr und inode_permission Programme/Prozesse, die einen Zugriff versuchen, es aber nicht schaffen?

Vielleicht kann mir hier ja jemand weiterhelfen.

Danke & Grüsse
Flözen
 

spoensche

Moderator
Teammitglied
floezen schrieb:
Code:
type=APPARMOR_DENIED msg=audit(1220776239.807:90):  type=1503 operation="inode_permission" requested_mask="a" denied_mask="a" name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:91):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="uid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:92):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="gid,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"
type=APPARMOR_DENIED msg=audit(1220776239.807:93):  type=1503 operation="setattr" requested_mask="w" denied_mask="w" attribute="mode,ctime," name="/usr/local/psa/var/log/maillog" pid=17468 profile="/sbin/syslog-ng"

Kann mir jemand sagen, welches Programm an was gehindert wird und ob das so richtig ist, oder ob ein bösartiger Zugriff von AppArmor erfolgreich abgewehrt wurde?
Das Programm, was keinen Zugriff erhält ist der syslog-ng. syslog-ng ist der Dämon, der die Logfiles schreibt, also kein "bösartiger" Zugriff.

floezen schrieb:
Bei allen Reports die ich bisher bekam, schien es immer um /usr/local/psa/var/log/maillog zu gehen. Sind setattr und inode_permission Programme/Prozesse, die einen Zugriff versuchen, es aber nicht schaffen?

inode_permission heisst das er auf den Inode in diesem Block des Dateisystems nicht zugreifen darf. Ja setattr ist ein Programm, wo mit du verschiedene Attribute einer Datei setzen kannst.

Ich vermute das du die Dateirechte auf "nur lesen" hast, der Syslog deswegen nicht schreiben kann und du deshalb diesen Report bekommst. Entweder ist die Partition als nur lesend gemountet oder du hast das in deinem AppArmor Profil so eingestellt oder die Zugriffsrechte sind so gesetzt.

Poste mal die Ausgabe von
Code:
ls -l  /usr/local/psa/var/log/maillog
 
OP
F

floezen

Newbie
Hmm, das mit dem Output ist einfach wenn man sich das Verzeichnis ansieht:
Code:
rw-r-----  1 root   root          0 Sep  3 23:25 maillog
-rw-r-----  1 root   root   10294024 Aug  4 00:03 maillog.processed
-rw-r--r--  1 root   root    8555656 Aug  2 00:04 maillog.processed.1.gz
-rw-r--r--  1 root   root    1751630 Jul 30 00:03 maillog.processed.2.gz

Ich überlege, ob ich erst um den 4. August AppArmor gestartet haben, weiß es aber nicht mehr...

Also irgendetwas muss ich wohl ändern.
Vermutlich in AppArmor den Zugriff erlauben, oder?!
 

spoensche

Moderator
Teammitglied
Was verwendest du für ein Dateisystem? setattr und chattr funktioniert nur bei ext2 und ext3. Sieh dir mal das Profil von AppArmor an was aktiv ist.
 
OP
F

floezen

Newbie
Ich konnte zwar nicht herausfinden, wo der Dateityp in AppArmor angezeigt wird, aber mount meldet:
Code:
/dev/sda3 on / type ext3 (rw,acl,user_xattr,usrquota)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
debugfs on /sys/kernel/debug type debugfs (rw)
udev on /dev type tmpfs (rw)
devpts on /dev/pts type devpts (rw,mode=0620,gid=5)
/dev/sda1 on /boot type ext3 (rw,acl,user_xattr)
securityfs on /sys/kernel/security type securityfs (rw)
 
OP
F

floezen

Newbie
Code:
server:~ # lsattr /usr/local/psa/var/log/maillog
-------------- /usr/local/psa/var/log/maillog
 

spoensche

Moderator
Teammitglied
Die Dateiattribute sibnd völlig in Ordnung. Es kann also nur an dem AppArmor Profil liegen. Du musst im AppArmore Profil dem syslog-ng Lese- und Schreibrechte auf die Datei geben.
 

spoensche

Moderator
Teammitglied
Gern geschehen. Markeire den Thread noch als gelöst, wenn das Problem gelöst ist.

Deinen ersten Beitrag editieren, dann im Titel ein [gelöst] einsetzen.
 
Oben