[Firejail, Apparmor, SELinux] Installation (résolu)
[Firejail, Apparmor, SELinux] Installation (résolu)
Bonjour à tous,
Je voudrais utiliser Firejail, Apparmor et SELinux par défaut pour tous les programmes, serait-ce possible ?
Pourriez-vous m'aider ?
Merci, cordialement, timfa2.
PS : Je ne comprend pas le manuel...
Je voudrais utiliser Firejail, Apparmor et SELinux par défaut pour tous les programmes, serait-ce possible ?
Pourriez-vous m'aider ?
Merci, cordialement, timfa2.
PS : Je ne comprend pas le manuel...
Dernière modification par timfa2 le lun. 30 sept. 2019, 20:54, modifié 1 fois.
- FoolEcho
- Maître du Kyudo
- Messages : 10707
- Inscription : dim. 15 août 2010, 11:48
- Localisation : Basse-Normandie
Re: [Firejail, Apparmor, SELinux] Installation
Salut,
Compte tenu qu'il y a des wikis là dessus (et qui paraissent clairs)... je ne comprends pas ta question.
firejail
AppArmor
SELinux (attention cette fonctionnalité n'est pas supportée officiellement par Arch)
Compte tenu qu'il y a des wikis là dessus (et qui paraissent clairs)... je ne comprends pas ta question.
firejail
AppArmor
SELinux (attention cette fonctionnalité n'est pas supportée officiellement par Arch)
«The following statement is not true. The previous statement is true.»
Re: [Firejail, Apparmor, SELinux] Installation
Je voudrais juste savoir comment on fait pour faire tourner par défaut toutes les applications sous Apparmor et SELinux (firejail j'ai réussit avec "sudo firecfg").
Je m'explique :
- A chaque démarrage apparmor que j'ai installé se charge mais ne se lance pas :
Je l'ai activé avec : "sudo systemctl enable apparmor" mais lorsque je lance "aa-status" il me répond : "apparmor module is loaded. \ apparmor filesystem is not mounted." !!! Comment faire dans ce cas ? Pourriez-vous m'éclairer s'il vous plaît ?
- Et pour SELinux, je ne comprend rien à ce qu'il faut faire... :
Pour chaque logiciel faut-il les réinstaller à la main depuis l'AUR la version pour SELinux ? Pourriez-vous s'il vous plaît (et si possible) aussi m'expliquer comment ça marche ?
Je sais, c'est peu être "basique" pour vous mais n'étant pas débutant, je ne suis pas non plus hyper-fort.
Merci d'avance,
cordialement, timfa2.
PS : je ne suis pas sur qu'avec "sudo firecfg" toutes les applications s'exécutent avec firejail ; auriez-vous un "remède" ?
Je m'explique :
- A chaque démarrage apparmor que j'ai installé se charge mais ne se lance pas :
Je l'ai activé avec : "sudo systemctl enable apparmor" mais lorsque je lance "aa-status" il me répond : "apparmor module is loaded. \ apparmor filesystem is not mounted." !!! Comment faire dans ce cas ? Pourriez-vous m'éclairer s'il vous plaît ?
- Et pour SELinux, je ne comprend rien à ce qu'il faut faire... :
Pour chaque logiciel faut-il les réinstaller à la main depuis l'AUR la version pour SELinux ? Pourriez-vous s'il vous plaît (et si possible) aussi m'expliquer comment ça marche ?
Je sais, c'est peu être "basique" pour vous mais n'étant pas débutant, je ne suis pas non plus hyper-fort.
Merci d'avance,
cordialement, timfa2.
PS : je ne suis pas sur qu'avec "sudo firecfg" toutes les applications s'exécutent avec firejail ; auriez-vous un "remède" ?
- FoolEcho
- Maître du Kyudo
- Messages : 10707
- Inscription : dim. 15 août 2010, 11:48
- Localisation : Basse-Normandie
Re: [Firejail, Apparmor, SELinux] Installation
De toutes manières tu ne pourras pas utiliser apparmor en même temps que selinux vu que le premier est une alternative au second (qui justement est plus compliqué à prendre en main).
Pour apparmor, le service seul ne suffit pas.
As-tu rajouté comme indiqué au démarrage les paramètres du kernel et redémarré (attention il faut bien un kernel récent ou l'un des spécifiques indiqués
Que renvoie
Pour apparmor, le service seul ne suffit pas.
As-tu rajouté comme indiqué au démarrage les paramètres du kernel et redémarré (attention il faut bien un kernel récent ou l'un des spécifiques indiqués
apparmor=1 security=apparmor
)?Que renvoie
aa-enabled
?«The following statement is not true. The previous statement is true.»
Re: [Firejail, Apparmor, SELinux] Installation
Aaah !!! OK, je n'avais pas compris que c'était la même chose...
Mais que me conseille-tu donc, apparmor ou selinux (et lequel est le plus sécurisé) ?
Non, je ne sais pas comment on fait.
Il renvoie "No - disabled at boot".
Est-ce que "sudo firecfg" suffit à faire tourner toutes les applications sous firejail ?
- FoolEcho
- Maître du Kyudo
- Messages : 10707
- Inscription : dim. 15 août 2010, 11:48
- Localisation : Basse-Normandie
Re: [Firejail, Apparmor, SELinux] Installation
Je ne conseille rien (je ne maîtrise pas du tout le sujet de toutes manières)... ... car à l'heure actuelle, à mon sens, ça n'a pas grand intérêt pour le système d'exploitation d'un particulier (côté Linux au moins).
Ce sont deux manières de sécuriser un système en se basant sur MAC ( Mandatory access control, https://fr.wikipedia.org/wiki/Contr%C3% ... bligatoire ; ça modifie la gestion traditionnelle des permissions: en gros c'est le système qui détermine selon sa politique ce qui est exécutable ou non -- pas de transfert de droits en somme, comme peut le faire sudo)...
Apparmor est probablement plus simple à utiliser et configurer. En tous cas il a été développé dans ce sens.
D'ailleurs tu peux ou non utiliser apparmor en surcouche de firejail.
cf. https://wiki.archlinux.fr/Syslinux#Argu ... ditionnels (exemple pour syslinux mais le principe est le même pour grub ou autre)
cf. Kernel_parameters
Je suppose... c'est ce qu'indique le wiki en tous cas.
«The following statement is not true. The previous statement is true.»
Re: [Firejail, Apparmor, SELinux] Installation
J'ais remplacé dans le fichier "/etc/default/grub" la ligne "GRUB_CMDLINE_LINUX="" " par "GRUB_CMDLINE_LINUX="apparmor=yes" ", après j'ais fait "mkinitcpio -p linux" puis "reboot" mais rien n'y fait...
Avez-vous une idée ? Je trouve le wiki comme n'étant pas très clair à ce sujet...
Avez-vous une idée ? Je trouve le wiki comme n'étant pas très clair à ce sujet...
- benjarobin
- Maître du Kyudo
- Messages : 17222
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [Firejail, Apparmor, SELinux] Installation
"mkinitcpio -p linux" ne sert à rien, et tu n'as pas re-génerer le configuration de Grub
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
- FoolEcho
- Maître du Kyudo
- Messages : 10707
- Inscription : dim. 15 août 2010, 11:48
- Localisation : Basse-Normandie
Re: [Firejail, Apparmor, SELinux] Installation
Dans /etc/default/grub:timfa2 a écrit : ↑ven. 14 déc. 2018, 19:18 J'ais remplacé dans le fichier "/etc/default/grub" la ligne "GRUB_CMDLINE_LINUX="" " par "GRUB_CMDLINE_LINUX="apparmor=yes" ", après j'ais fait "mkinitcpio -p linux" puis "reboot" mais rien n'y fait...
Avez-vous une idée ? Je trouve le wiki comme n'étant pas très clair à ce sujet...
Code : Tout sélectionner
GRUB_CMDLINE_LINUX="apparmor=1 security=apparmor"
Code : Tout sélectionner
grub-mkconfig -o /boot/grub/grub.cfg
«The following statement is not true. The previous statement is true.»
Re: [Firejail, Apparmor, SELinux] Installation
OK, c'est bon tout marche bien mais est-ce que apparmor marche pour TOUS les programmes ?
- benjarobin
- Maître du Kyudo
- Messages : 17222
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [Firejail, Apparmor, SELinux] Installation
Il n'y a rien de magique, par défaut que je sache cela ne fait rien. Je ne suis pas sûr que tu comprennes le but de ces programmes...
C'est comme si tu avais lancé iptables avec la configuration par défaut : Cela ne fait rien...
Quel est ton but réel ? Tu veux réellement faire quoi ? Car la "sécurité" ce n'est pas magique, sinon cela serait par défaut...
C'est comme si tu avais lancé iptables avec la configuration par défaut : Cela ne fait rien...
Quel est ton but réel ? Tu veux réellement faire quoi ? Car la "sécurité" ce n'est pas magique, sinon cela serait par défaut...
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [Firejail, Apparmor, SELinux] Installation
Jamais utilisé Apparmor mais j'ai déjà utilisé SElinux et en toute franchise je partage l'avis de @FoolEcho c'est un poil too much pour du desktop ordinaire.
Une protection de ce calibre pour un serveur qui fait face à des attaques sur internet ça se justifie davantage .
SElinux est bien trop avancé pour un utilisateur ordinaire et sans "ses propres avertissements" dans lesquels il fourni des commandes à entrer pour résoudre les problèmes il est très complexe à appréhender, d'une part par son fonctionnement et d'autre part par sa syntaxe. On est plus dans les compétences d'un sysadmin qu'un utilisateur lambda selon moi.
Apparmor semble plus simple que SElinux enfin à première vue si on regarde la doc (encore que) mais ça reste pointu c'est de la sécurité.
N'aie pas peur de lire à outrance si tu souhaites maîtriser l'outil car comme l'a justement souligner @benjarobin il n'y a rien d'automatique tant que tu n'auras pas mis les mains dedans.
Une protection de ce calibre pour un serveur qui fait face à des attaques sur internet ça se justifie davantage .
SElinux est bien trop avancé pour un utilisateur ordinaire et sans "ses propres avertissements" dans lesquels il fourni des commandes à entrer pour résoudre les problèmes il est très complexe à appréhender, d'une part par son fonctionnement et d'autre part par sa syntaxe. On est plus dans les compétences d'un sysadmin qu'un utilisateur lambda selon moi.
Apparmor semble plus simple que SElinux enfin à première vue si on regarde la doc (encore que) mais ça reste pointu c'est de la sécurité.
N'aie pas peur de lire à outrance si tu souhaites maîtriser l'outil car comme l'a justement souligner @benjarobin il n'y a rien d'automatique tant que tu n'auras pas mis les mains dedans.
- FoolEcho
- Maître du Kyudo
- Messages : 10707
- Inscription : dim. 15 août 2010, 11:48
- Localisation : Basse-Normandie
Re: [Firejail, Apparmor, SELinux] Installation
Le paquet vient avec un certain nombre de profils (/etc/apparmor.d/) pour différents programmes mais, comme dit précédemment, rien ne va fonctionner sans que tu interviennes (Arch te propose le paquet et les outils... mais c'est toi qui détermine l'usage que tu veux en faire: protection partout ou partielle...).
https://wiki.archlinux.org/index.php/AppArmor#Usage
Pour voir l'état actuel de ce qui est chargé,
apparmor_status
.Pour un mode d'emploi plus clair:
https://doc.ubuntu-fr.org/apparmor#utilisation
Donc vis-à-vis de tous les programmes la réponse est non: si tu rajoutes quelque chose non couvert part /etc/apparmor.d/, tu devras rajouter un profil pour ça.
«The following statement is not true. The previous statement is true.»
[Firejail, Apparmor, SELinux] Installation (Résolu)
Le but d'utiliser Apparmor est tout simplement de me familiariser avec cet outil pour pouvoir monter un serveur (web entre autres), de plus je n'avais pas mesuré l'ampleur de la difficulté de l'utilisation de ces outils ni le peu d'utilité finale pour du desktop... Par ailleurs, je voulais aussi savoir ce que c'est, comment ça marche (j'aime bien bidouiller)...
J'avoue, je suis aussi un peu parano (et curieux)...
Merci pour tout.
J'avoue, je suis aussi un peu parano (et curieux)...
Merci pour tout.