yama Sicherheitsmodul

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Hinweis: In dem Thema yama Sicherheitsmodul gibt es 8 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • yama Sicherheitsmodul

    Hallo zusammen! Derzeit noch Debian Nutzer, habe ich openSUSE Tumbleweed gerade in einer virtuellen Maschine ausprobiert und werde hoffentlich/voraussichtlich die nächsten Tage das Lager wechseln :)

    Eine Frage brennt mir derzeit aber noch unter den Nägeln: In Debian, wie auch in Ubuntu, Fedora, CentOS, eigentlich überall sonst in der Linux-Welt, werden die Kernel mit Unterstützung für Yama kompiliert. In Debian und Ubuntu ist YAMA sogar standardmäßig aktiviert. Das erlaubt es den Gebrauch von ptrace einzuschränken, was die Sicherheit des Systems etwas verbessert. Wenn ich mich richtig erinnere setzt auch die interne Chromium Sandbox unter anderem auf Yama auf.

    Es hat mich doch sehr überrascht, dass zumindest in meiner virtuellen Maschine der openSUSE Tumbleweed Kernel keine Unterstützung für Yama bietet:

    $ cat /boot/config-4.20.10-1-default | grep YAMA
    # CONFIG_SECURITY_YAMA is not set

    Ich habe im Internet keine Erklärung dafür gefunden. Gibt es einen offensichtlichen Grund, den ich gerade nicht erkenne? Oder weiß jemand ob es einen offiziellen openSUSE Kernel gibt, der das hat und den ich mir installieren könnte? In all den anderen Distros ist der Einsatz ziemlich unproblematisch.

    Für den Inhalt des Beitrages 129778 haftet ausdrücklich der jeweilige Autor: drmayer

  • Ok, Yama ist scheinbar überall in SUSE deaktiviert, nicht nur in Tumbleweed, auch in Leap.

    Schätze mal ich werde einen Bugreport erstellen oder auf der Mailinglist posten, und das dann hierher verlinken.

    Außer es bremst mich noch jemand in den nächsten Stunden ;)

    Für den Inhalt des Beitrages 129781 haftet ausdrücklich der jeweilige Autor: drmayer

  • drmayer schrieb:

    Außer es bremst mich noch jemand in den nächsten Stunden
    Gib Gas....
    Mal schauen, ob du eine Antwort bekommst.
    Links in dieser Signatur bitte zum Lesen anklicken!

    Code-Tags <<<Klick mich
    zypper <<<Klick mich
    Netzwerkprobleme <<<Klick mich

    Für den Inhalt des Beitrages 129782 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Guck lieber erst mal apparmor.
    ptrace kann auf jeden Fall damit geblockt werden.

    Ob die Default Profile von Apparmor das überall blocken, weiß ich nicht.
    Für Dockers untrusted Container auf jeden Fall.

    openSUSE geht da mit Apparmor schon länger einen anderen Weg.
    Sokrates sagte, dass er nichts wisse.
    Ich bin viel, viel klüger als Sokrates.
    Ich weiß ganz genau, dass ich gar nichts weiß.

    Für den Inhalt des Beitrages 129786 haftet ausdrücklich der jeweilige Autor: Berichtigung

  • Berichtigung schrieb:

    Guck lieber erst mal apparmor.
    ptrace kann auf jeden Fall damit geblockt werden.

    Du hast Recht. Die Funktionen von Apparmor und Yama überlappen sich teilweise. Man kann mit Apparmor für eine einzelne Anwendung ptrace in jede Richtung verbieten, und eigentlich alle Standardprofile machen von dieser Möglichkeit zumindest teilweise Gebrauch.

    Das schöne an Yama ist aber dass die Restriktionen automatisch für alle nicht privilegierten Prozesse gelten, und trotzdem die Dinge normal weiterfunktionieren (zumindest in der kleinsten Einstellung).

    Für den Inhalt des Beitrages 129789 haftet ausdrücklich der jeweilige Autor: drmayer