LiveCD/USB и AppArmor

My555 · 29 февраля 2020, 13:02:00

Ребята, подскажите, как подружить LiveCD c AppArmor? Загружаюсь с LiveCD, делаю

apparmor_status

получаю:

apparmor module is loaded.
0 profiles are loaded.
0 profiles are in enforce mode.
0 profiles are in complain mode.
0 processes have profiles defined.
0 processes are in enforce mode.
0 processes are in complain mode.

Пробовал в (и не только)

Код Выделить

/etc/apparmor.d/tunables/alias прописывать нечто подобное:

Код Выделить

alias / -> /run/live/rootfs/filesystem.squashfs/
но что-то не увенчалось успехом. Как правильно пути перепрописать, чтобы Apparmor работал корректно и загружал профили при старте системы?

svtv1 · 02 марта 2020, 05:19:08

https://yandex.ru/search/?text=apparmor%20debian&lr=213
Тут смотрел.
Да и ещё ты не указал какая ОС (в смысле debian)?

My555 · 02 марта 2020, 07:24:12

Debian 10.2, 10.3.

Цитата: svtv1 от 02 марта 2020, 05:19:08Тут смотрел.

Первым делом. Зачастую ответ следующий: "Apparmor doesn't work on stacked filesystem i.e. Live CD". Сам Apparmor работает, но, например, устанавливая профиль для Moziila столкнулся с тем, что он некорректно работает. Например, в профиле устанавливаю

Код Выделить

/** rw,, т.е. просмотр/сохранение (корня и дальше) из браузера должно происходить, но выдаёт ошибку доступа. В логах смотрю, в некоторых случаях name идёт, например, без / name=usr/..., хотя обычно name=/etc/.... Т.е. получается, проблема с путями. Пробовал через alias добавлять разные конструкции, но что-то не получается.

Причём если профиль полностью отключить, то Mozilla полноценно работает, все шрифты как надо. А с включённым и шрифты не подгружаются и доступ к файлам отсутствует, но при этом если полностью удалить содержимое профиля, Mozilla не запускается, т.е. реакция на профиль есть. Аналогичная история если запустить профиль в режиме complain, шрифты не подгружаются, доступа к файлам отсутствует и т.п., т.е. сам Apparmor какую-то работу делает, но, похоже, из-за того что пути разные он их как-то некорректно обрабатывает.

sidbar · 02 марта 2020, 14:45:00

Цитата: My555 от 02 марта 2020, 07:24:12устанавливая профиль для Moziila

Откуда взяли профиль?

Цитата: My555 от 02 марта 2020, 07:24:12шрифты не подгружаются, доступа к файлам отсутствует и т.п

Не прописаны права доступа в профиле.

My555 · 02 марта 2020, 15:12:27

Профиль сделал сам. Права доступа прописаны и профиль на обычной системе (НЕ LiveCD) Debian работает нормально. Мало того, в LiveCD профиль даже в complain режиме не хочет корректно работать.

sidbar · 02 марта 2020, 15:36:26

покаж

Код Выделить

dmesg |grep Kernel

My555 · 02 марта 2020, 16:57:10

Код Выделить

[    0.256133] Kernel command line: BOOT_IMAGE=/live/vmlinuz-4.19.0-8-amd64 initrd=/live/initrd.img-4.19.0-8-amd64 boot=live components splash quiet
[    7.318257] systemd[1]: Listening on udev Kernel Socket.

My555 · 02 марта 2020, 21:44:10

Тезисно:

Использую оригинальный образ LiveCD с оф. сайта записанный на флешку. Есть ещё самодельный (оригинальный, в котором squash образ заменён), но результат аналогичный. Версия Debian 10.3
На обычной системе (НЕ LiveCD) профиль AppArmor работает как надо
На LiveCD этот же профиль работает НЕкорректно, но он работает. Сам Firefox загружается, но шрифты и профиль Firefox не загружаются, при попытке сохранить страницу выдаёт "ошибка доступа". Если полностью удалить содержимое профиля (полный запрет), Firefox как и положено не запускается.
На LiveCD в режиме complain также работает НЕкорректно. Хотя в этом режиме разрешается почти всё.
На LiveCD при отключённом профиле (aa-disable) Firefox запускается как надо