[apparmor][Ubuntu] Бедные хомячки

> Нафига это чудо тянет с собой кучу профилей если они кривые?!

Windows-style в действии.

А adduser работает?

Не проверял. Но должен по идее.

Это ты ещё SELinux в Fedora не видел. Тот иногда после обновлений вообще систему загрузить не даёт =).

Плюсую, его сразу после установки умерить нужно. Еще я заценил дефолтные настройки iptables =)

это 11.04 так себя ведет?

Капец..

Не, 10.10.

Но это не умолчальная настройка. По умолчанию AppArrmor запущен с ... 2! профилями, причем один (огнелисовский) игнорируется. Ну это как если ты в венде поставишь каспера и настроишь его только на проверку папки Картинки. Т.е. непонятно зачем он вообще установлен и в автозагрузке сидит. Чтобы время загрузки увеличивать?

Но в репах, стандартных прошу заметить, есть куча наборов профилей - их можно доставить (можно и самому своять - это несложно, но лениво), вот его то я и доставил.

Подефолту apparmor там совершенно дохлый.
Но я имел опыт его настройки (для игровых серверов и других потенциально дырявых приложений) на других дистрибутивах(debian, centos).
И пару лет назад ситуация была именно такая - плачевная.
Профили по факту почти не дружат со свежими версиями софта.

Но вообще это для параноиков.
Нужно либо серьёзно заморачиваться (проверять все ручками), либо никак.

Ну у меня как бы паранойя и есть... Может вместо заморочек с apparmor, таблетки какие попить? Но это же к врачу идти... Ломает. Да и страшновато чё-та - вдруг он меня отравит.

У вас очень мало шансов, что «злые» хакеры будут ломать его через mysql.
Что максимум применяется для взлома, так это локальная запись/чтение файлов, если скрипты работают c рутовым юзером базы.
Сплоитов на сам mysql, я никогда не видел. И уж точно не слышал чтобы их кто либо использовал.
С той же вероятностью будет эксплоит на apache или ssh сервер, итп.

Боишься – не делай, делаешь – не бойся!
Я всего лишь подразумеваю, что «уход в безопастность» на dev сервере (не на рабочем же ubuntu ставить) принесет куда больше проблем, чем пользы.
Лучше просто открывать доступ к сервисам только для ряда IP/подсетей.

Ну и если разработка - это скрипты, то подмонтируйте отдельных раздел для www c noexec/nosuid, и при возможности добавьте к этому chroot.
От 99% желающих это вас защитит.

Конечно могу перечислить здесь ещё 1500 действий которые надо произвести для защиты от реальных взломщиков.
А таких вещей куда больше: убрать server-status, -Indexess, убрать вывод любых версий в хедеры, переименовать/снести папку icons, убить время изменения файлов веб сервера (которые может скачать юзер, а все выводы ошибок лучше заменить на свои), поставить mod_security на apache....

Но я могу сказать только одно - 99% взломов происходят именно из за глупости(невнимательности) админа, а не из за отсутствия на сервере app armor.
Лучше потратить время на настройку основных сервисов, с пониманием что именно вы делаете:
1 - Нужно вообще отключить все лишнее, и давать доступ только с доверенных подсетей.
Если хакер увидит в выдаче nmap пару портов с отсутсвием версий в хедерах, а так же увидит что нету ни phpinfo, ни /phpmyadmin, ни даже /icons c листингом - наверняка желание копать сервер у него сильно поубиватся.

2 - Все что видит потенциальный взломщик должно содержать минимальное количество информации - отключить все debug выводы, убрать версии, убрать листинги и главное вовремя обновлять софт.

Это что то вроде объемной таблетки от паранои.
Если есть вопросы - спрашивайте, готов ответить что и почему говорю отключать.

Так фишка не в том, что он заблокировал мускул, а в том, что тот не смог добавить нового юзера при установке.

А что касается сервера, ну так, это - он за NAT'ом, и на машине с NAT'ом пондят нетфильтер - все входящие закрыты. И от фрагментированных пакетов и от синнаводнения и от хрен знает чего правила прикручены.

Паранойя такая параноидальная...

Но за экскурс спасибо.

Всё вроде понятно, кроме папки icons - это-то как помочь может хацкеру?

1 - По любому листингу сразу же узнается версия apache, а внутри иногда есть всякие штуки вроде «powered by phyton».
2 - По размеру/набору/дате модификации иконок можно определить как версию, так и дистрибутив с датой установки.
Себе написал спец софт для этой цели.

3 - Даже если у сервера (любого) имеется два внешних канала и IP в разных подсетях, то содержимое (и все из п.2) дает однозначный ответ на вопрос, одна и та же система отвечает по разным IP или нет.
Скажем даже если пинг один, и трасировка идет одним путем, то на машине могут быть виртуалки.
Но сверка данных из /icons (а так же файлов ошибок и прочих расшаренных данных) дает почти 100% точность определения.

>>Это Убунта такая Убунта или везде так?

В Fedora где этого нет, а есть кошерный selinux все нормально

>>Это ты ещё SELinux в Fedora не видел. Тот иногда после обновлений вообще систему загрузить не даёт =).

Чушь. Сижу на ней начиная с Fedora core 2 и никогда такого не видел.

Чем тебе selinux на centos не подошел?

хренассе как время плющит:
29.04.2011 20:08:41
30.04.2011 1:25:38

а написал то с интервалом в минуту :) или это пиво забористое такое?

если чо, то на моих Sat Apr 30 17:57:42 EEST 2011

Чушь. Сижу на ней начиная с Fedora core 2 и никогда такого не видел.

Ты видимо никогда не использовал rawhide-alpha-beta-версии. Там такое частенько. Обычно исправляется сбросом контекста безопасности на всех файлах (restorecon -R /).

Сижу на ней начиная с Fedora core 2 и никогда такого не видел.

А ты selinux включал?

>>Это ты ещё SELinux в Fedora не видел. Тот иногда после обновлений вообще систему загрузить не даёт

Ты видимо никогда не использовал rawhide-alpha-beta-версии. Там такое частенько. Обычно исправляется сбросом контекста безопасности на всех файлах (restorecon -R /).

Смеялся до слёз от такого аргугумента. Круто.

>>А ты selinux включал?

Скажем так - я его не выключал

Я тоже не выключаю

>>Я тоже не выключаю

И как? проблемы были? а то видать тру админ, такой тру админ

А что-то в этом есть. На вопрос: > Это Убунта такая Убунта или везде так?

Пугают Федорой!

>>Ты видимо никогда не использовал rawhide-alpha-beta-версии. Там такое частенько.

Истинного гуру видать издалека. Я на rawhide пересаживаюсь примерно за месяц до беты и таких проблем не видел. С зависимостями, да, бывают проблемы, с selinux не видел

>>Пугают Федорой!

Их рук испугались бы даже американские горки

>И как? проблемы были? а то видать тру админ, такой тру админ

Проблеы из серии «самый страшный вирус - юзер»

что с часами происходит? два поста подряд и:
30.04.2011 18:59:07
30.04.2011 20:06:34

Я на rawhide пересаживаюсь примерно за месяц до беты и таких проблем не видел. С зависимостями, да, бывают проблемы, с selinux не видел

Вот «типичная» проблема: https://bugzilla.redhat.com/show_bug.cgi?id=693972. Ещё одна: https://bugzilla.redhat.com/show_bug.cgi?id=638691. Плюс около месяца назад обновили systemd, а про настройки SELinux под него забыли. В результате на некоторых системах загрузка просто зависала где-то в начальной стадии. Фиксили дня четыре (багрепорт найти не могу, но он был).

а то видать тру админ, такой тру админ

Когда у людей кончаются аргументы и начинается батхерт они переходят на личности. Мало того, ты ещё и свою некомпетентность показал. А если бы ты предварительно на https://bugzilla.redhat.com сделал поиск ты бы понял на сколько ты не прав. Но чу

Продолжай дальше измываться над моим ником, спецЫалист.

Круто 15 ещё даже не релиз, а оказывается столько претензий. Хотя и бета работает хоршо. Так что не пугайте Федорой!

Так что не пугайте Федорой!

Я и не пугаю. Я просто констатирую факт что безглючных дистров нет и не будет потому что всё тестирование возлагается на пользователей. Те кто считают наоборот просто фанатики.

Имелся хостинговый (под личные и дружеские проекты) сервер на centos 4.
При обновлениях софта приходилось рихтовать их вручную.
Хотя одной из причин наверняка была часть софта пересобранная вручную.

В итоге было решено не забивать мозг лишними вещами, и просто не использовать защитные костыли.
И да, я не хочу оскорбить какой либо дефолтный конфиг с дефолтными (протухшими) версиями пакетов.

Просто по своему опыту высказался, что если не готов настраивать и доводить (после адпейта софта, например) - то лучше apparmor/selinux вообще не использовать.
Оно на всех дистрибутивах так. Ведь шаг вправо/влево - не работает.

Может быть данные технологии подходят, если надо защитить 5к машин с одним конфигом и стабильным софтом.
Но вот использование их на личном сервере вызывает огромное кол-во проблем.

>>Продолжай дальше измываться над моим ником, спецЫалист.

Я специально говно не выискиваю. Я сказал о личном опыте - у меня проблем с Fedora никогда не было и у знакомых с Fedora тоже проблем не было. Проблемы были только когда обновлялся до совсем раннего rawhide, но это не проблемa дистра.

В зюзе 11.4 пока что столкнулся с кривым профилем апармора для самбы. ковырять было лень потому переключил самбу в комплейн мод.

Ну так я тоже переключаю просто в комплейн и всё. А когда ковырять - хрен его знает...