Apparmor a blokování sítě

Asi před rokem a půl jsem psal článek o tom, jak se dá použít AppArmor k blokování síťových pro vybrané uživatele: AppArmor vs. iptables – blokování sítě (jde to i přes iptables, ale teď řešíme apparmor).

Včera mi napsal Harvie, že mu to nefunguje – apparmor mu zablokuje např. ping, ale normální TCP spojení se navázat dá (curl, wget fungují).

Zkoušel jsem to tedy znova a v mé konfiguraci to blokuje všechny síťové operace.

Funguje: ubuntí jádro 3.0.0-14-generic + AppArmor 2.7.0~beta1+bzr1774-1ubuntu2
Nefunguje: archové/vanilkové jádro 3.2.1-1-zen + AppArmor 2.7.0

Napadá někoho, čím to může být? Zatím to vypadá, že to funguje díky patchům v Ubuntu. Pokud máte trochu času, vyzkoušejte to prosím ve své distribuci a napište výsledek.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Hadam, ze blizsi vysvetleni najdeme po progoogleni tehle hlasek, ktery to vypise, kde pouziju primo apparmor_parser misto aa-enforce:

[root@insomnia harvie]# apparmor_parser /etc/apparmor.d/usr.lib.chromium.chromium 
Cache read/write disabled: /sys/kernel/security/apparmor/features interface file missing. (Kernel needs AppArmor 2.4 compatibility patch.)
Warning from /etc/apparmor.d/usr.lib.chromium.chromium (/etc/apparmor.d/usr.lib.chromium.chromium line 61): profile /usr/lib/chromium/chromium network rules not enforced

21.3.2012 22:33 Petr Krčmář | skóre: 60 | Liberec
Rozbalit Rozbalit vše Re: Apparmor a blokování sítě

Dělá mi to totéž v Debianu testing. Zjistili jste něco?

Amatéři postavili Noemovu archu, profesionálové Titanic ...

Dotaz: Apparmor a blokování sítě

Odpovědi