[Firejail, Apparmor, SELinux] Installation (résolu)

Ce qui ne concerne ni le forum ni des problèmes
Répondre
timfa2

[Firejail, Apparmor, SELinux] Installation (résolu)

Message par timfa2 »

Bonjour à tous,

Je voudrais utiliser Firejail, Apparmor et SELinux par défaut pour tous les programmes, serait-ce possible ?
Pourriez-vous m'aider ?
Merci, cordialement, timfa2.

PS : Je ne comprend pas le manuel...
Dernière modification par timfa2 le lun. 30 sept. 2019, 20:54, modifié 1 fois.
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [Firejail, Apparmor, SELinux] Installation

Message par FoolEcho »

Salut,

Compte tenu qu'il y a des wikis là dessus (et qui paraissent clairs)... je ne comprends pas ta question.
firejail
AppArmor
SELinux (attention cette fonctionnalité n'est pas supportée officiellement par Arch)
«The following statement is not true. The previous statement is true.» :nage:
timfa2

Re: [Firejail, Apparmor, SELinux] Installation

Message par timfa2 »

Je voudrais juste savoir comment on fait pour faire tourner par défaut toutes les applications sous Apparmor et SELinux (firejail j'ai réussit avec "sudo firecfg").

Je m'explique :

- A chaque démarrage apparmor que j'ai installé se charge mais ne se lance pas :
Je l'ai activé avec : "sudo systemctl enable apparmor" mais lorsque je lance "aa-status" il me répond : "apparmor module is loaded. \ apparmor filesystem is not mounted." !!! Comment faire dans ce cas ? Pourriez-vous m'éclairer s'il vous plaît ? :D

- Et pour SELinux, je ne comprend rien à ce qu'il faut faire... :
Pour chaque logiciel faut-il les réinstaller à la main depuis l'AUR la version pour SELinux ? Pourriez-vous s'il vous plaît (et si possible) aussi m'expliquer comment ça marche ? :D

Je sais, c'est peu être "basique" pour vous mais n'étant pas débutant, je ne suis pas non plus hyper-fort.
Merci d'avance,
cordialement, timfa2.

PS : je ne suis pas sur qu'avec "sudo firecfg" toutes les applications s'exécutent avec firejail ; auriez-vous un "remède" ? :D
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [Firejail, Apparmor, SELinux] Installation

Message par FoolEcho »

De toutes manières tu ne pourras pas utiliser apparmor en même temps que selinux vu que le premier est une alternative au second (qui justement est plus compliqué à prendre en main).

Pour apparmor, le service seul ne suffit pas.
As-tu rajouté comme indiqué au démarrage les paramètres du kernel et redémarré (attention il faut bien un kernel récent ou l'un des spécifiques indiqués apparmor=1 security=apparmor )?

Que renvoie aa-enabled ?
«The following statement is not true. The previous statement is true.» :nage:
timfa2

Re: [Firejail, Apparmor, SELinux] Installation

Message par timfa2 »

FoolEcho a écrit : mer. 12 déc. 2018, 21:53 De toutes manières tu ne pourras pas utiliser apparmor en même temps que selinux vu que le premier est une alternative au second (qui justement est plus compliqué à prendre en main).
Aaah !!! OK, je n'avais pas compris que c'était la même chose...
Mais que me conseille-tu donc, apparmor ou selinux (et lequel est le plus sécurisé) ?
FoolEcho a écrit : mer. 12 déc. 2018, 21:53 Pour apparmor, le service seul ne suffit pas.
As-tu rajouté comme indiqué au démarrage les paramètres du kernel et redémarré (attention il faut bien un kernel récent ou l'un des spécifiques indiqués apparmor=1 security=apparmor )?
Non, je ne sais pas comment on fait.
FoolEcho a écrit : mer. 12 déc. 2018, 21:53 Que renvoie aa-enabled ?
Il renvoie "No - disabled at boot".
Est-ce que "sudo firecfg" suffit à faire tourner toutes les applications sous firejail ?
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [Firejail, Apparmor, SELinux] Installation

Message par FoolEcho »

timfa2 a écrit : jeu. 13 déc. 2018, 18:32 Mais que me conseille-tu donc, apparmor ou selinux (et lequel est le plus sécurisé) ?
Je ne conseille rien (je ne maîtrise pas du tout le sujet de toutes manières)... :) ... car à l'heure actuelle, à mon sens, ça n'a pas grand intérêt pour le système d'exploitation d'un particulier (côté Linux au moins).
Ce sont deux manières de sécuriser un système en se basant sur MAC ( Mandatory access control, https://fr.wikipedia.org/wiki/Contr%C3% ... bligatoire ; ça modifie la gestion traditionnelle des permissions: en gros c'est le système qui détermine selon sa politique ce qui est exécutable ou non -- pas de transfert de droits en somme, comme peut le faire sudo)...
Apparmor est probablement plus simple à utiliser et configurer. En tous cas il a été développé dans ce sens.

D'ailleurs tu peux ou non utiliser apparmor en surcouche de firejail.
timfa2 a écrit : jeu. 13 déc. 2018, 18:32
FoolEcho a écrit : mer. 12 déc. 2018, 21:53 Pour apparmor, le service seul ne suffit pas.
As-tu rajouté comme indiqué au démarrage les paramètres du kernel et redémarré (attention il faut bien un kernel récent ou l'un des spécifiques indiqués apparmor=1 security=apparmor )?
Non, je ne sais pas comment on fait.
cf. https://wiki.archlinux.fr/Syslinux#Argu ... ditionnels (exemple pour syslinux mais le principe est le même pour grub ou autre)
cf. Kernel_parameters
timfa2 a écrit : jeu. 13 déc. 2018, 18:32Est-ce que "sudo firecfg" suffit à faire tourner toutes les applications sous firejail ?
Je suppose... c'est ce qu'indique le wiki en tous cas.
«The following statement is not true. The previous statement is true.» :nage:
timfa2

Re: [Firejail, Apparmor, SELinux] Installation

Message par timfa2 »

J'ais remplacé dans le fichier "/etc/default/grub" la ligne "GRUB_CMDLINE_LINUX="" " par "GRUB_CMDLINE_LINUX="apparmor=yes" ", après j'ais fait "mkinitcpio -p linux" puis "reboot" mais rien n'y fait...
Avez-vous une idée ? Je trouve le wiki comme n'étant pas très clair à ce sujet...
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17187
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [Firejail, Apparmor, SELinux] Installation

Message par benjarobin »

"mkinitcpio -p linux" ne sert à rien, et tu n'as pas re-génerer le configuration de Grub
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [Firejail, Apparmor, SELinux] Installation

Message par FoolEcho »

timfa2 a écrit : ven. 14 déc. 2018, 19:18 J'ais remplacé dans le fichier "/etc/default/grub" la ligne "GRUB_CMDLINE_LINUX="" " par "GRUB_CMDLINE_LINUX="apparmor=yes" ", après j'ais fait "mkinitcpio -p linux" puis "reboot" mais rien n'y fait...
Avez-vous une idée ? Je trouve le wiki comme n'étant pas très clair à ce sujet...
Dans /etc/default/grub:

Code : Tout sélectionner

GRUB_CMDLINE_LINUX="apparmor=1 security=apparmor"
Ensuite c'est le grub.cfg qu'il faut regénérer, pas l'initramfs:

Code : Tout sélectionner

grub-mkconfig -o /boot/grub/grub.cfg
«The following statement is not true. The previous statement is true.» :nage:
timfa2

Re: [Firejail, Apparmor, SELinux] Installation

Message par timfa2 »

OK, c'est bon tout marche bien mais est-ce que apparmor marche pour TOUS les programmes ?
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17187
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [Firejail, Apparmor, SELinux] Installation

Message par benjarobin »

Il n'y a rien de magique, par défaut que je sache cela ne fait rien. Je ne suis pas sûr que tu comprennes le but de ces programmes...
C'est comme si tu avais lancé iptables avec la configuration par défaut : Cela ne fait rien...

Quel est ton but réel ? Tu veux réellement faire quoi ? Car la "sécurité" ce n'est pas magique, sinon cela serait par défaut...
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
CoudUr
yeomen
Messages : 230
Inscription : sam. 06 avr. 2013, 17:12

Re: [Firejail, Apparmor, SELinux] Installation

Message par CoudUr »

Jamais utilisé Apparmor mais j'ai déjà utilisé SElinux et en toute franchise je partage l'avis de @FoolEcho c'est un poil too much pour du desktop ordinaire.
Une protection de ce calibre pour un serveur qui fait face à des attaques sur internet ça se justifie davantage .

SElinux est bien trop avancé pour un utilisateur ordinaire et sans "ses propres avertissements" dans lesquels il fourni des commandes à entrer pour résoudre les problèmes il est très complexe à appréhender, d'une part par son fonctionnement et d'autre part par sa syntaxe. On est plus dans les compétences d'un sysadmin qu'un utilisateur lambda selon moi.

Apparmor semble plus simple que SElinux enfin à première vue si on regarde la doc (encore que) mais ça reste pointu c'est de la sécurité.
N'aie pas peur de lire à outrance si tu souhaites maîtriser l'outil car comme l'a justement souligner @benjarobin il n'y a rien d'automatique tant que tu n'auras pas mis les mains dedans.
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [Firejail, Apparmor, SELinux] Installation

Message par FoolEcho »

timfa2 a écrit : sam. 15 déc. 2018, 13:08 OK, c'est bon tout marche bien mais est-ce que apparmor marche pour TOUS les programmes ?
Le paquet vient avec un certain nombre de profils (/etc/apparmor.d/) pour différents programmes mais, comme dit précédemment, rien ne va fonctionner sans que tu interviennes (Arch te propose le paquet et les outils... mais c'est toi qui détermine l'usage que tu veux en faire: protection partout ou partielle...).

https://wiki.archlinux.org/index.php/AppArmor#Usage
Pour voir l'état actuel de ce qui est chargé, apparmor_status.

Pour un mode d'emploi plus clair:
https://doc.ubuntu-fr.org/apparmor#utilisation

Donc vis-à-vis de tous les programmes la réponse est non: si tu rajoutes quelque chose non couvert part /etc/apparmor.d/, tu devras rajouter un profil pour ça.
«The following statement is not true. The previous statement is true.» :nage:
timfa2

[Firejail, Apparmor, SELinux] Installation (Résolu)

Message par timfa2 »

Le but d'utiliser Apparmor est tout simplement de me familiariser avec cet outil pour pouvoir monter un serveur (web entre autres), de plus je n'avais pas mesuré l'ampleur de la difficulté de l'utilisation de ces outils ni le peu d'utilité finale pour du desktop... Par ailleurs, je voulais aussi savoir ce que c'est, comment ça marche (j'aime bien bidouiller)...
J'avoue, je suis aussi un peu parano (et curieux)...
Merci pour tout.
Répondre