pietinger Moderator
Joined: 17 Oct 2006 Posts: 5039 Location: Bavaria
|
Posted: Wed Nov 25, 2020 5:54 pm Post subject: D2 Kernel Konfiguration IV für AppArmor |
|
|
(Dieser Post ist Teil einer Installation-Anleitung. Falls nicht schon geschehen lies bitte: Installation Guide for Paranoid Dummies Post Nr. 3)
D.2 Kernel Konfiguration IV für AppArmor
Falls Du C.2 (noch) nicht gemacht hast, mache bitte das Kapitel "1. Vorbereitung" aus C.2 und bleibe gleich in der Sektion "Security options" und dort ...
(Wenn Du bereits IMA im Appraise-Modus aktiv hast, boote bitte gleich in den UNLOCKED-Kernel und bleibe dort bis Du D.3 gemacht hast. Boote dann erst zurück.)
... aktivierst Du dann AppArmor und disablest die beiden folgenden Zeilen - Kernel Version 5.15.x:
Code: | [*] AppArmor support
[ ] Enable introspection of sha1 hashes for loaded profiles
[ ] Build AppArmor with debug code |
Edit 2022-01-11: Kernel Version 6.1.x:
Code: | [*] AppArmor support
[ ] Build AppArmor with debug code
[ ] Allow loaded policy to be introspected
[ ] Perform full verification of loaded policy |
Ganz unten stellst Du AppArmor als primäres LSM ein und sorgst für die richtige Reihenfolge der LSMs:
Code: | First legacy 'major LSM' to be initialized (AppArmor) --->
(lockdown,yama,loadpin,safesetid,integrity,apparmor,bpf) Ordered list of enabled LSMs |
Du musst diese Kernel-Konfiguration noch nicht aktiviert haben, wenn Du die Installation D.3 machst. Nur halt dann irgendwann mal ...
Dann solltest Du folgendes im Systemlog haben:
Code: | # dmesg | grep -i apparmor
[ 1.250365] LSM: builtin ordering: apparmor (enabled)
[ 1.250370] LSM: exclusive chosen: apparmor
[ 1.250386] LSM: initializing apparmor
[ 1.250408] AppArmor: AppArmor initialized
[ 1.584356] AppArmor: AppArmor Filesystem Enabled |
Weiter gehts in D.3 |
|