yama Sicherheitsmodul

Hinweis: In dem Thema yama Sicherheitsmodul gibt es 9 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • Hallo zusammen! Derzeit noch Debian Nutzer, habe ich openSUSE Tumbleweed gerade in einer virtuellen Maschine ausprobiert und werde hoffentlich/voraussichtlich die nächsten Tage das Lager wechseln :)


    Eine Frage brennt mir derzeit aber noch unter den Nägeln: In Debian, wie auch in Ubuntu, Fedora, CentOS, eigentlich überall sonst in der Linux-Welt, werden die Kernel mit Unterstützung für Yama kompiliert. In Debian und Ubuntu ist YAMA sogar standardmäßig aktiviert. Das erlaubt es den Gebrauch von ptrace einzuschränken, was die Sicherheit des Systems etwas verbessert. Wenn ich mich richtig erinnere setzt auch die interne Chromium Sandbox unter anderem auf Yama auf.


    Es hat mich doch sehr überrascht, dass zumindest in meiner virtuellen Maschine der openSUSE Tumbleweed Kernel keine Unterstützung für Yama bietet:


    $ cat /boot/config-4.20.10-1-default | grep YAMA
    # CONFIG_SECURITY_YAMA is not set


    Ich habe im Internet keine Erklärung dafür gefunden. Gibt es einen offensichtlichen Grund, den ich gerade nicht erkenne? Oder weiß jemand ob es einen offiziellen openSUSE Kernel gibt, der das hat und den ich mir installieren könnte? In all den anderen Distros ist der Einsatz ziemlich unproblematisch.

    Für den Inhalt des Beitrages 129778 haftet ausdrücklich der jeweilige Autor: karlaparla

  • Ich hab auf der Mailingliste nur 2 Anfragen von 2017 und 2014 gefunden, beide ohne Antworten.

    Für den Inhalt des Beitrages 129780 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Ok, Yama ist scheinbar überall in SUSE deaktiviert, nicht nur in Tumbleweed, auch in Leap.


    Schätze mal ich werde einen Bugreport erstellen oder auf der Mailinglist posten, und das dann hierher verlinken.


    Außer es bremst mich noch jemand in den nächsten Stunden ;)

    Für den Inhalt des Beitrages 129781 haftet ausdrücklich der jeweilige Autor: karlaparla

  • Guck lieber erst mal apparmor.
    ptrace kann auf jeden Fall damit geblockt werden.


    Ob die Default Profile von Apparmor das überall blocken, weiß ich nicht.
    Für Dockers untrusted Container auf jeden Fall.


    openSUSE geht da mit Apparmor schon länger einen anderen Weg.

  • Guck lieber erst mal apparmor.
    ptrace kann auf jeden Fall damit geblockt werden.


    Du hast Recht. Die Funktionen von Apparmor und Yama überlappen sich teilweise. Man kann mit Apparmor für eine einzelne Anwendung ptrace in jede Richtung verbieten, und eigentlich alle Standardprofile machen von dieser Möglichkeit zumindest teilweise Gebrauch.


    Das schöne an Yama ist aber dass die Restriktionen automatisch für alle nicht privilegierten Prozesse gelten, und trotzdem die Dinge normal weiterfunktionieren (zumindest in der kleinsten Einstellung).

    Für den Inhalt des Beitrages 129789 haftet ausdrücklich der jeweilige Autor: karlaparla

  • Nur der Vollständigkeit halber: Es geht mittlerweile. Man muss allerdings folgendes der Kernel Befehlszeile hinzufügen:


    Code
    lsm=yama,integrity,apparmor


    entweder direkt in /etc/default/grub, oder via Yast (Bootloader Einstellungen -> Kernel Parameter).

    Für den Inhalt des Beitrages 280760 haftet ausdrücklich der jeweilige Autor: karlaparla