Page 1 sur 1
[Firejail, Apparmor, SELinux] Installation (résolu)
Publié : mar. 11 déc. 2018, 17:59
par timfa2
Bonjour à tous,
Je voudrais utiliser Firejail, Apparmor et SELinux par défaut pour tous les programmes, serait-ce possible ?
Pourriez-vous m'aider ?
Merci, cordialement, timfa2.
PS : Je ne comprend pas le manuel...
Re: [Firejail, Apparmor, SELinux] Installation
Publié : mer. 12 déc. 2018, 09:13
par FoolEcho
Salut,
Compte tenu qu'il y a des wikis là dessus (et qui paraissent clairs)... je ne comprends pas ta question.
firejail
AppArmor
SELinux (attention cette fonctionnalité n'est pas supportée officiellement par Arch)
Re: [Firejail, Apparmor, SELinux] Installation
Publié : mer. 12 déc. 2018, 18:40
par timfa2
Je voudrais juste savoir comment on fait pour faire tourner par défaut toutes les applications sous Apparmor et SELinux (firejail j'ai réussit avec "sudo firecfg").
Je m'explique :
- A chaque démarrage apparmor que j'ai installé se charge mais ne se lance pas :
Je l'ai activé avec : "sudo systemctl enable apparmor" mais lorsque je lance "aa-status" il me répond : "apparmor module is loaded. \ apparmor filesystem is not mounted." !!! Comment faire dans ce cas ? Pourriez-vous m'éclairer s'il vous plaît ?
- Et pour SELinux, je ne comprend rien à ce qu'il faut faire... :
Pour chaque logiciel faut-il les réinstaller à la main depuis l'AUR la version pour SELinux ? Pourriez-vous s'il vous plaît (et si possible) aussi m'expliquer comment ça marche ?
Je sais, c'est peu être "basique" pour vous mais n'étant pas débutant, je ne suis pas non plus hyper-fort.
Merci d'avance,
cordialement, timfa2.
PS : je ne suis pas sur qu'avec "sudo firecfg" toutes les applications s'exécutent avec firejail ; auriez-vous un "remède" ?
Re: [Firejail, Apparmor, SELinux] Installation
Publié : mer. 12 déc. 2018, 21:53
par FoolEcho
De toutes manières tu ne pourras pas utiliser apparmor en même temps que selinux vu que le premier est une alternative au second (qui justement est plus compliqué à prendre en main).
Pour apparmor, le service seul ne suffit pas.
As-tu rajouté comme indiqué au démarrage les paramètres du kernel et redémarré (attention il faut bien un kernel récent ou l'un des spécifiques indiqués apparmor=1 security=apparmor )?
Que renvoie aa-enabled ?
Re: [Firejail, Apparmor, SELinux] Installation
Publié : jeu. 13 déc. 2018, 18:32
par timfa2
FoolEcho a écrit : ↑mer. 12 déc. 2018, 21:53
De toutes manières tu ne pourras pas utiliser apparmor en même temps que selinux vu que le premier est une alternative au second (qui justement est plus compliqué à prendre en main).
Aaah !!! OK, je n'avais pas compris que c'était la même chose...
Mais que me conseille-tu donc, apparmor ou selinux (et lequel est le plus sécurisé) ?
FoolEcho a écrit : ↑mer. 12 déc. 2018, 21:53
Pour apparmor, le service seul ne suffit pas.
As-tu rajouté comme indiqué au démarrage les paramètres du kernel et redémarré (attention il faut bien un kernel récent ou l'un des spécifiques indiqués
apparmor=1 security=apparmor )?
Non, je ne sais pas comment on fait.
FoolEcho a écrit : ↑mer. 12 déc. 2018, 21:53
Que renvoie
aa-enabled ?
Il renvoie "No - disabled at boot".
Est-ce que "sudo firecfg" suffit à faire tourner toutes les applications sous firejail ?
Re: [Firejail, Apparmor, SELinux] Installation
Publié : jeu. 13 déc. 2018, 19:54
par FoolEcho
timfa2 a écrit : ↑jeu. 13 déc. 2018, 18:32
Mais que me conseille-tu donc, apparmor ou selinux (et lequel est le plus sécurisé) ?
Je ne conseille rien (je ne maîtrise pas du tout le sujet de toutes manières)...
... car à l'heure actuelle, à mon sens, ça n'a pas grand intérêt pour le système d'exploitation d'un particulier (côté Linux au moins).
Ce sont deux manières de sécuriser un système en se basant sur MAC ( Mandatory access control,
https://fr.wikipedia.org/wiki/Contr%C3% ... bligatoire ; ça modifie la gestion traditionnelle des permissions: en gros c'est le système qui détermine selon sa politique ce qui est exécutable ou non -- pas de transfert de droits en somme, comme peut le faire sudo)...
Apparmor est probablement plus simple à utiliser et configurer. En tous cas il a été développé dans ce sens.
D'ailleurs tu peux ou non utiliser apparmor en surcouche de firejail.
timfa2 a écrit : ↑jeu. 13 déc. 2018, 18:32
FoolEcho a écrit : ↑mer. 12 déc. 2018, 21:53
Pour apparmor, le service seul ne suffit pas.
As-tu rajouté comme indiqué au démarrage les paramètres du kernel et redémarré (attention il faut bien un kernel récent ou l'un des spécifiques indiqués
apparmor=1 security=apparmor )?
Non, je ne sais pas comment on fait.
cf.
https://wiki.archlinux.fr/Syslinux#Argu ... ditionnels (exemple pour syslinux mais le principe est le même pour grub ou autre)
cf. Kernel_parameters
timfa2 a écrit : ↑jeu. 13 déc. 2018, 18:32Est-ce que "sudo firecfg" suffit à faire tourner toutes les applications sous firejail ?
Je suppose... c'est ce qu'indique le wiki en tous cas.
Re: [Firejail, Apparmor, SELinux] Installation
Publié : ven. 14 déc. 2018, 19:18
par timfa2
J'ais remplacé dans le fichier "/etc/default/grub" la ligne "GRUB_CMDLINE_LINUX="" " par "GRUB_CMDLINE_LINUX="apparmor=yes" ", après j'ais fait "mkinitcpio -p linux" puis "reboot" mais rien n'y fait...
Avez-vous une idée ? Je trouve le wiki comme n'étant pas très clair à ce sujet...
Re: [Firejail, Apparmor, SELinux] Installation
Publié : ven. 14 déc. 2018, 19:42
par benjarobin
"mkinitcpio -p linux" ne sert à rien, et tu n'as pas re-génerer le configuration de Grub
Re: [Firejail, Apparmor, SELinux] Installation
Publié : sam. 15 déc. 2018, 09:10
par FoolEcho
timfa2 a écrit : ↑ven. 14 déc. 2018, 19:18
J'ais remplacé dans le fichier "/etc/default/grub" la ligne "GRUB_CMDLINE_LINUX="" " par "GRUB_CMDLINE_LINUX="apparmor=yes" ", après j'ais fait "mkinitcpio -p linux" puis "reboot" mais rien n'y fait...
Avez-vous une idée ? Je trouve le wiki comme n'étant pas très clair à ce sujet...
Dans /etc/default/grub:
Ensuite c'est le grub.cfg qu'il faut regénérer, pas l'initramfs:
Re: [Firejail, Apparmor, SELinux] Installation
Publié : sam. 15 déc. 2018, 13:08
par timfa2
OK, c'est bon tout marche bien mais est-ce que apparmor marche pour TOUS les programmes ?
Re: [Firejail, Apparmor, SELinux] Installation
Publié : sam. 15 déc. 2018, 13:29
par benjarobin
Il n'y a rien de magique, par défaut que je sache cela ne fait rien. Je ne suis pas sûr que tu comprennes le but de ces programmes...
C'est comme si tu avais lancé iptables avec la configuration par défaut : Cela ne fait rien...
Quel est ton but réel ? Tu veux réellement faire quoi ? Car la "sécurité" ce n'est pas magique, sinon cela serait par défaut...
Re: [Firejail, Apparmor, SELinux] Installation
Publié : sam. 15 déc. 2018, 16:20
par CoudUr
Jamais utilisé Apparmor mais j'ai déjà utilisé SElinux et en toute franchise je partage l'avis de @FoolEcho c'est un poil too much pour du desktop ordinaire.
Une protection de ce calibre pour un serveur qui fait face à des attaques sur internet ça se justifie davantage .
SElinux est bien trop avancé pour un utilisateur ordinaire et sans "ses propres avertissements" dans lesquels il fourni des commandes à entrer pour résoudre les problèmes il est très complexe à appréhender, d'une part par son fonctionnement et d'autre part par sa syntaxe. On est plus dans les compétences d'un sysadmin qu'un utilisateur lambda selon moi.
Apparmor semble plus simple que SElinux enfin à première vue si on regarde la doc (encore que) mais ça reste pointu c'est de la sécurité.
N'aie pas peur de lire à outrance si tu souhaites maîtriser l'outil car comme l'a justement souligner @benjarobin il n'y a rien d'automatique tant que tu n'auras pas mis les mains dedans.
Re: [Firejail, Apparmor, SELinux] Installation
Publié : dim. 16 déc. 2018, 09:02
par FoolEcho
timfa2 a écrit : ↑sam. 15 déc. 2018, 13:08
OK, c'est bon tout marche bien mais est-ce que apparmor marche pour TOUS les programmes ?
Le paquet vient avec un certain nombre de profils (/etc/apparmor.d/) pour différents programmes mais, comme dit précédemment, rien ne va fonctionner sans que tu interviennes (Arch te propose le paquet et les outils... mais c'est toi qui détermine l'usage que tu veux en faire: protection partout ou partielle...).
https://wiki.archlinux.org/index.php/AppArmor#Usage
Pour voir l'état actuel de ce qui est chargé,
apparmor_status.
Pour un mode d'emploi plus clair:
https://doc.ubuntu-fr.org/apparmor#utilisation
Donc vis-à-vis de tous les programmes la réponse est non: si tu rajoutes quelque chose non couvert part /etc/apparmor.d/, tu devras rajouter un profil pour ça.
[Firejail, Apparmor, SELinux] Installation (Résolu)
Publié : mar. 18 déc. 2018, 10:12
par timfa2
Le but d'utiliser Apparmor est tout simplement de me familiariser avec cet outil pour pouvoir monter un serveur (web entre autres), de plus je n'avais pas mesuré l'ampleur de la difficulté de l'utilisation de ces outils ni le peu d'utilité finale pour du desktop... Par ailleurs, je voulais aussi savoir ce que c'est, comment ça marche (j'aime bien bidouiller)...
J'avoue, je suis aussi un peu parano (et curieux)...
Merci pour tout.