Apparmor

Qu'est-ce que GNU/Linux ? Comment tester ? Vous avez un problème lors de son installation ?

Modérateur : Mods GNU/Linux

elytres
newbie
newbie
Messages : 5
Inscription : 15 mai 2012 04:52

Apparmor

Message par elytres » 16 mai 2012 19:28

Bonjour,

Je suis depuis environ un an sur linux d'abord sur ubuntu ensuite xubuntu et finalement depuis environ 1 mois voyager, donc plutôt débutant.
J'ai essayé d'utiliser apparmor en suivant les instructions de http://doc.ubuntu-fr.org/apparmor et https://help.ubuntu.com/community/AppArmor
J'ai installé le paquet:

apparmor-profiles
et ensuite comme ça ne fonctionnait pas j'ai installé :

apparmor apparmor-utils apparmor-profiles libterm-readline-gnu-perl
j'ai pour cela suivi des conseils sur un forum en anglais ( j'ai perdu la page)
Enfin j'ai activé le profil de firefox et comme tout fonctionnait bien j'ai activé tous les profils.
J'ai eu de gros problèmes avec chromium qui ne démarrait plus ( j'ai utilisé la commande top dans un terminal) il se lançait un instant comme 2 seconde et puis disparaissait. j'ai donc désactivé tous les profils avec cette commande :

sudo aa-disable /etc/apparmor.d/*
De ce que j'ai pu voir plus rien d'apparmor ne fonctionne avec:

sudo apparmor_status
J'aurais aimé savoir si le fait de tout avoir désactivé par cette commande ne m'est pas préjudiciable, je ne suis pas sur mais il me semble que sur ubuntu et peut être sur voyager qui utilise comme base ubuntu apparmor et en parti installé et peut être qu'il doit fonctionner en partie aussi.
Ensuite j'aurai aimé savoir aussi comment le faire fonctionner avec chromium et aussi avec d'autres programmes comme par exemple pigdin etc...

Merci beaucoup pour vos réponses.




elytres
newbie
newbie
Messages : 5
Inscription : 15 mai 2012 04:52

Re: Apparmor

Message par elytres » 17 mai 2012 01:27

Désolé, je me suis trompé d'endroit pour poster mon message, il aurait dû être, je pense dans Utilisation de GNU/Linux. Je ne sais pas comment le déplacer... PDT_013

Avatar de l’utilisateur
Lætitia
Geek à longue barbe
Geek à longue barbe
Messages : 2068
Inscription : 28 août 2008 15:53
Localisation : près Rouen
Contact :

Re: Apparmor

Message par Lætitia » 18 mai 2012 21:55

salut,
pas de souci pour la section, tant que tu es dans GNU/Linux tout va bien.
Alors, je ne connais pas du tout Apparmor. De ce que j'ai pu voir, on trouve des configs sur le oueb :
pour chromium

Code : Tout sélectionner

# Last Modified: Sat Apr  7 22:30:35 2012
#include <tunables/global>

/opt/google/chrome/google-chrome flags=(complain) {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/cups-client>
  #include <abstractions/dbus-session>
  #include <abstractions/fonts>
  #include <abstractions/freedesktop.org>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>
  #include <abstractions/nvidia>
  #include <abstractions/ubuntu-konsole>
  #include <abstractions/user-tmp>

  capability ipc_lock,
  capability sys_ptrace,

  network inet stream,
  network inet6 stream,

  deny /usr/bin/gconftool-2 x,

  / r,
  /** rk,
  /bin/bash ix,
  /bin/dash rix,
  /bin/grep rix,
  /bin/mkdir rix,
  /bin/ps rix,
  /bin/readlink rix,
  /bin/sed rix,
  /bin/which rix,
  /dev/ati/* rwk,
  /etc/passwd m,
  /home/*/.cache/dconf/user rwk,
  /home/*/.cache/google-chrome/** rwk,
  /home/*/.config/autostart/google-chrome.desktop rwk,
  /home/*/.config/google-chrome/ rwk,
  /home/*/.config/google-chrome/** rwk,
  /home/*/.pki/nssdb/** rwk,
  /home/*/.macromedia/** rwk,
  /home/*/.adobe/** rwk,
  /home/*/.fontconfig/** rwk,
  /home/*/.icedtea/** rwk,
  /opt/google/** rwk,
  /opt/google/chrome/* mrwk,
  /opt/google/chrome/PepperFlash/* mrwk,
  /opt/google/chrome/chrome rix,
  /opt/google/chrome/chrome-sandbox px,
  /opt/google/chrome/google-chrome rix,
  /opt/google/chrome/xdg-settings rix,
  /proc/*/oom_score_adj w,
  /root/.local/share/Trash/files/* rwk,
  /root/.local/share/Trash/files/** rwk,
  /run/shm/* mrw,
  owner /tmp/** mrlk,
  /tmp/** rw,
  /usr/bin/basename rix,
  /usr/bin/cut rix,
  /usr/bin/dirname rix,
  /usr/bin/file-roller rix,
  /usr/bin/gvfs-open rix,
  /usr/bin/lsb_release rix,
  /usr/bin/mawk rix,
  /usr/bin/nautilus rix,
  /usr/bin/transmission-gtk px,
  /usr/bin/xdg-mime rix,
  /usr/bin/xdg-open rix,
  /usr/bin/xdg-settings rix,
  /usr/lib{,32,64}/** mr,
  /usr/share/fonts/**/*.pfb m,
  /usr/share/fonts/truetype/**/*.tt[cf] m,
  /usr/share/icons/**/*.cache m,
  /usr/share/mime/mime.cache m,
  owner /{dev,run}/shm/pulse-shm* m,
  owner @{HOME}/ r,
  owner @{HOME}/.local/share/mime/mime.cache m,
  owner @{HOME}/Downloads/ r,
  owner @{HOME}/Downloads/* rw,
  owner @{HOME}/Public/ r,
  owner @{HOME}/Public/* r,
  owner @{PROC}/[0-9]*/auxv r,
  @{PROC}/[0-9]*/net/if_inet6 r,
  @{PROC}/[0-9]*/net/ipv6_route r,

}

Code : Tout sélectionner

# Bodhi.Zazen's current iron profile
# Please note this is for :
# Ubuntu 10.04
# Should apply to chromium with minimal modifications

#include <tunables/global>

/usr/lib/chromium-browser/chromium-browser {
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/consoles>
  #include <abstractions/cups-client>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>
  #include <abstractions/private-files>
  #include <abstractions/user-tmp>
  #include <abstractions/X>

  # Capabilities

  capability chown,
  capability dac_override,
  capability fsetid,
  capability net_raw,
  capability setgid,
  capability setuid,
  capability sys_admin,
  capability sys_chroot,
  capability sys_ptrace,

  # for networking
  network inet stream,
  network inet6 stream,
  @{PROC}/[0-9]*/net/if_inet6 r,
  @{PROC}/[0-9]*/net/ipv6_route r,

  # sounds
  /etc/sound/ r,
  /etc/sound/** r,
  /etc/wildmidi/wildmidi.cfg r,


  # System files
  /bin/dash rix,
  /bin/grep rix,
  /bin/mkdir rix,
  /bin/mktemp rix,
  /bin/mv rix,
  /bin/ps rix,
  /bin/readlink rix,
  /bin/sed rix,
  /bin/touch rix,
  /bin/which rix,
  /bin/uname rix,
  /etc/chromium-browser/** r,
  /etc/passwd rm,
  /etc/firefox/** r,
  /etc/xdg/** r,
  @{PROC}/sys/kernel/pid_max r,
  @{PROC}/sys/kernel/shmmax r,
  @{PROC}/filesystems r,
  @{PROC}/uptime r,
  @{PROC}/ r,
  @{PROC}/tty/drivers r,
  @{PROC}/version r,
  @{PROC}/[0-9]*/auxv r,
  @{PROC}/[0-9]*/cmdline r,
  @{PROC}/[0-9]*/environ r,
  @{PROC}/[0-9]*/fd/ r,
  @{PROC}/[0-9]*/maps r,
  @{PROC}/[0-9]*/oom_adj rw,
  @{PROC}/[0-9]*/stat r,
  @{PROC}/[0-9]*/status r,
  /usr/bin/basename rix,
  /usr/bin/gconftool-2 rix,
  /usr/bin/cut rix,
  /usr/bin/setarch rix,
  /usr/bin/wc rix,
  /usr/bin/xprop rix,
  /usr/bin/xdg-mime rix,
  /usr/bin/xdg-open rix,
  /usr/lib/nspluginwrapper/i386/linux/npviewer* rix,
  /usr/share/applications/** r,
  /usr/share/fonts/ rm,
  /usr/share/fonts/** rm,
  /usr/share/icons/** rm,
  /usr/share/locale-langpack/** rm,
  /usr/share/mime/** rm,
  /var/cache/fontconfig/ rw,
  /var/cache/fontconfig/** rw,
  /var/lib/dbus/machine-id r,
  /var/lib/flashplugin-installer/*.so rm,
  /var/tmp/ rw,
  /var/tmp/* rwm,

  # Chromium specific
  /usr/lib/chromium-browser/ r,
  /usr/lib/chromium-browser/** rwkix,
  /dev/shm/ rw,
  /dev/shm/** rwmk,

  # User's home
  owner @{HOME}/ r,
  owner @{HOME}/.adobe/ rw,
  owner @{HOME}/.adobe/** rw,
  owner @{HOME}/.cache/chromium/ rw,
  owner @{HOME}/.cache/chromium/** rwmk,
  owner @{HOME}/.config/chromium/ rw,
  owner @{HOME}/.config/chromium/** rwmk,
  owner @{HOME}/.config/xfce4/* rw,
  owner @{HOME}/.fontconfig/ rw,
  owner @{HOME}/.fontconfig/** rwm,
  owner @{HOME}/.local/ r,
  owner @{HOME}/.local/** r,
  owner @{HOME}/.local/share/** rw,
  owner @{HOME}/.macromedia/ rw,
  owner @{HOME}/.macromedia/Flash_Player/ rw,
  owner @{HOME}/.macromedia/Flash_Player/** rw,
  owner @{HOME}/.mozilla/ r,
  owner @{HOME}/.mozilla/** r,
  owner @{HOME}/.mozilla/firefox/*/** rwk,
  owner @{HOME}/.pki/ rw,
  owner @{HOME}/.pki/** rwk,
  owner @{HOME}/{Desktop,Documents,Downloads}/ rw,
  owner @{HOME}/{Desktop,Documents,Downloads}/** rw,
  audit deny @{HOME}/.ssh/** mrwkl,
  audit deny @{HOME}/.gnome2_private/** mrwkl,
  audit deny @{HOME}/.gnupg/** mrwkl,

}

Code : Tout sélectionner

#include <tunables/global>

/usr/lib/chromium-browser/chromium-browser {
  #include <abstractions/X>
  #include <abstractions/audio>
  #include <abstractions/base>
  #include <abstractions/dbus>
  #include <abstractions/evince>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/nameservice>
  #include <abstractions/private-files>
  #include <abstractions/ubuntu-konsole>
  #include <abstractions/user-tmp>

  capability chown,
  capability dac_override,
  capability fsetid,
  capability net_raw,
  capability setgid,
  capability setuid,
  capability sys_admin,
  capability sys_chroot,
  capability sys_ptrace,


  audit deny @{HOME}/.gnome2_private/** mrwlk,
  audit deny @{HOME}/.ssh/** mrwlk,

  / r,
  /bin/ r,
  /bin/dash rix,
  /bin/grep rix,
  /bin/mkdir rix,
  /bin/mv rix,
  /bin/ps rUx,
  /bin/readlink rix,
  /bin/sed rix,
  /bin/touch rix,
  /bin/uname rUx,
  /bin/which rix,
  /boot/initrd.img-2.6.*generic r,
  /boot/vmlinuz-2.6.*generic r,
  /dev/oss/oss_hdaudio0/pcm0 w,
  /dev/shm/ rw,
  /dev/shm/** mrwk,
  /etc/chromium-browser/policies/*/ r,
  owner /home/*/ r,
  owner /home/*/** mwk,
  /home/*/** r,
  /proc/ r,
  /proc/*/cmdline r,
  owner /proc/*/environ r,
  /proc/*/fd/ r,
  owner /proc/*/io r,
  owner /proc/*/oom_adj w,
  /proc/*/smaps r,
  /proc/*/stat r,
  /proc/*/statm r,
  /proc/*/status r,
  owner /proc/*/task/ r,
  /proc/filesystems r,
  /proc/meminfo r,
  /proc/stat r,
  /proc/sys/kernel/* r,
  /proc/tty/drivers r,
  /proc/uptime r,
  /proc/version r,  
  /usr/bin/ark rUx,
  /usr/bin/basename rix,
  /usr/bin/cut rix,
  /usr/bin/eog rUx,
  /usr/bin/evince rPx,
  /usr/bin/file-roller rUx,
  /usr/bin/gawk rix,
  /usr/bin/gconftool-2 rix,
  /usr/bin/gedit rUx,
  /usr/bin/gimp* rUx,
  /usr/bin/gnome-network-properties rix,
  /usr/bin/gnome-open rix,
  /usr/bin/okular rUx,
  /usr/bin/oocalc rUx,
  /usr/bin/oodraw rUx,
  /usr/bin/ooffice rUx,
  /usr/bin/ooimpress rUx,
  /usr/bin/oowriter rUx,
  /usr/bin/setarch rix,
  /usr/bin/xarchiver rUx,
  /usr/bin/xdg-mime rix,
  /usr/bin/xdg-open rix,
  /usr/lib/chromium-browser/** rwkix,
  /usr/lib/gstreamer0.10/gstreamer-0.10/gst-plugin-scanner rix,
  /usr/lib/nspluginwrapper/i386/linux/npviewer rUx,
  /usr/lib/nspluginwrapper/i386/linux/npviewer.bin rix,
  /usr/lib/openoffice/program/soffice rUx,
  /usr/lib{,32,64}/** mr,
  /usr/local/lib/lib*so* mr,
  /var/lib/flashplugin-installer/npwrapper.libflashplayer.so mr,
  
}

--------------------------------------------------------------------------------------
pour pidgin

Code : Tout sélectionner

#include <tunables/global>
/usr/bin/pidgin {
    #include <abstractions/base>

    capability sys_ptrace,

    network inet stream,
    network inet dgram,
    network inet6 stream,
    network inet6 dgram,

    owner @{HOME}/** r,
    owner @{HOME}/.aspell* rk,
    owner @{HOME}/.config/enchant/* rk,
    owner @{HOME}/.fonts.conf r,
    owner @{HOME}/.gtk-bookmarks r,
    owner @{HOME}/.ICEauthority r,
    owner @{HOME}/.local/share/mime/* r,
    owner @{HOME}/.Xauthority r,

    owner @{PROC}/*/fd/ r,
    owner @{PROC}/*/maps r,
    owner @{PROC}/*/mounts r,

    /dev/shm/ r,

    /etc/ r,
    /etc/fonts/** r,
    /etc/ssl/certs/ r,
    /etc/gai.conf r,
    /etc/host.conf r,
    /etc/hosts r,
    /etc/nsswitch.conf r,
    /etc/passwd r,
    /etc/pulse/client.conf r,
    /etc/resolvconf/run/resolv.conf r,

    /usr/bin/pidgin r,

    /usr/lib/ r,
    /usr/lib/gtk-*/**.so rm,
    /usr/lib/libvisual-*/**.so rm,
    /usr/lib/pango/**.so rm,
    /usr/lib/pidgin/*.so rm,
    /usr/lib/purple*/*.so rm,

    /usr/local/share/icons/ r,
    /usr/share/fonts/ r,
    /usr/share/fonts/** r,
    /usr/share/gvfs/remote-volume-monitors/ r,
    /usr/share/gvfs/remote-volume-monitors/* r,
    /usr/share/icons/ r,
    /usr/share/icons/** r,
    /usr/share/locale-langpack/** r,
    /usr/share/mime/* r,
    /usr/share/myspell/dicts/ r,
    /usr/share/myspell/dicts/** r,
    /usr/share/pixmaps/ r,
    /usr/share/pixmaps/** r,
    /usr/share/sounds/purple/* r,
    /usr/share/tcltk/** r,
    /usr/share/themes/** r,
    /usr/share/enchant/enchant.ordering r,

    /var/cache/fontconfig/** r,
    /var/lib/aspell/** r,
    /var/lib/defoma/** r,

    owner /tmp/orbit-*/ w,
    /tmp/.ICE-unix/* w,
    /tmp/.X11-unix/* w,
    owner /tmp/pulse-*/* w,

    /var/run/dbus/system_bus_socket w,

    owner @{HOME}/.config/gtk-*/** rw,
    owner @{HOME}/.gnome2/nautilus-sendto/** rw,
    owner @{HOME}/.purple/ rw,
    owner @{HOME}/.purple/** rwk,
    owner @{HOME}/.recently-used* rw,
    owner @{HOME}/Downloads/ rw,
    owner @{HOME}/Downloads/** rw,

    /dev/shm/* rw,
    /dev/tty rw,

    /tmp/ rw,
    /tmp/orbit-*/* w,

    /var/tmp/ rw,

    @{HOME}/.gstreamer*/* ra,

    /usr/bin/gconftool-2 rix,
    /usr/bin/gnome-default-applications-properties ix,
    /usr/bin/gnome-network-preferences ix,
    /usr/bin/launchpad-integration ix,
}

Code : Tout sélectionner

# Last Modified: Fri Jun 20 09:42:54 2008
#include <tunables/global>
/usr/bin/pidgin {
  #include <abstractions/base>
  #include <abstractions/gnome>
network inet,
  /usr/lib/purple-2/* mr,
  /usr/bin/pidgin mr,
  /etc/hosts r,
  /etc/resolv.conf r,
  @{HOME}/.purple/* wr,
  @{HOME}/.purple/** wr,
  /usr/bin/gconftool-2 ix,
  /usr/bin/gnome-open ix, 
 /usr/lib/pidgin/* mr,
  @{HOME}/pidgindownloads/** rw,
 @{HOME}/pidgindownloads/ rw,
 @{HOME}/ r,
 /usr/share/sounds/purple/* r,
 /home/pramod/.purple/ wr,
 /usr/lib/libgconf2-4/gconfd-2 Ux,
 #/dev/shm/** rw,
 /var/run/dbus/system_bus_socket rw,
}
ensuite, tu testes le profile

Code : Tout sélectionner

sudo aa-enforce chromium
J'espère que ça t'aide un petit peu, je ne connais pas la syntaxe pour ces fichiers. Bon courage,

@+

elytres
newbie
newbie
Messages : 5
Inscription : 15 mai 2012 04:52

Re: Apparmor

Message par elytres » 19 mai 2012 20:58

salut Lætitia,
merci pour ta réponse,

J'avais vu aussi ces configs mais je pensais que pour chromium c’était déjà tout comme firefox inclut dans les profils que j'avais installés et que ça venait plutôt d'une erreur de ma part.
Celle de pigdin je ne l'avais pas trouvé merci.
Je vais essayer tout ça ce week-end.
En espérant y arriver sans trop de problèmes PDT_042


Répondre

Revenir vers « Découvrir ou installer GNU/Linux »