El perfil de Apparmor niega el acceso de lectura con la marca r

2

Generé un perfil de apparmor para el binario tor que viene incluido en Ricochet:

# Last Modified: Sun Apr  2 2017
#include <tunables/global>

/ricochet/*-ricochet/tor {
  #include <abstractions/base>

  deny /etc/ld.so.preload r,

  deny /proc/sys/kernel/random/uuid r,
  /ricochet/*-ricochet/config/tor/ rwk,
  /ricochet/*-ricochet/config/tor/ r,
  /ricochet/*-ricochet/config/tor/cached-certs r,
  /ricochet/*-ricochet/config/tor/cached-microdesc-consensus r,
  /ricochet/*-ricochet/config/tor/cached-microdescs r,
  /ricochet/*-ricochet/config/tor/cached-microdescs.new r,
  /ricochet/*-ricochet/config/tor/control-port w,
  /ricochet/*-ricochet/config/tor/control-port.tmp rw,
  /ricochet/*-ricochet/config/tor/default_torrc r,
  /ricochet/*-ricochet/config/tor/lock rwk,
  /ricochet/*-ricochet/config/tor/state rw,
  /ricochet/*-ricochet/config/tor/state.tmp rw,
  /ricochet/*-ricochet/config/tor/torrc r,
  /ricochet/*-ricochet/tor mr,
  deny /sys/devices/system/cpu/ r,
  /usr/share/tor/geoip r,
  /usr/share/tor/geoip6 r,

}

No estoy seguro de qué tan sensibles son /proc/sys/kernel/random/uuid , así que las negué. Ricochet abre bien con ellos negados. Dime si debo permitirles aunque ...

Mi mayor preocupación es /usr/share/tor/geoip . Lo tengo configurado para solo lectura, pero todavía recibo quejas de journalctl:

$ journalctl -af
Apr 02 <uname removed> kernel: audit: type=1400 audit(1491170231.720:200): apparmor="DENIED" operation="open" profile="/ricochet/<removed>-ricochet/tor" name="/usr/share/tor/geoip" pid=2563 comm="tor" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Apr 02 <uname removed> kernel: audit: type=1400 audit(1491170231.720:201): apparmor="DENIED" operation="open" profile="/ricochet/<removed>-ricochet/tor" name="/usr/share/tor/geoip6" pid=2563 comm="tor" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

¿Puede alguien ayudarme a depurar esto? ¿Por qué apparmor niega r access?

    
pregunta user143794 03.04.2017 - 15:36
fuente

1 respuesta

1

¿Ambos volvieron a cargar AppArmor y reiniciaron la aplicación? El simple hecho de volver a cargar AppArmor no significa que los cambios en la política surtan efecto inmediatamente. Si eso no funciona, puede incluir en la lista blanca la totalidad de /usr/share/tor . Solo se puede escribir por root, por lo que no hay problemas con la modificación de los programas maliciosos y no contiene información confidencial. No se puede escribir, por lo que no se beneficiaría de un control más preciso sobre él. Simplemente dejar que Tor lea cualquier cosa dentro de él es perfectamente seguro:

/usr/share/tor/ r,
/usr/share/tor/** r,

En cuanto a /proc/sys/kernel/random/uuid , no es sensible. Todo lo que hace es devolver datos aleatorios formateados como UUID. No proporciona más información que /dev/urandom . De proc(5) :

/proc/sys/kernel/random/uuid (since Linux 2.4)
    Each read from this read-only file returns a randomly generated
    128-bit UUID, as a string in the standard UUID format.
    
respondido por el forest 30.11.2017 - 05:17
fuente

Lea otras preguntas en las etiquetas