Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
26.07.2021, 16:06:30

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 25781
  • Letzte: Martina1
Statistiken
  • Beiträge insgesamt: 746893
  • Themen insgesamt: 60070
  • Heute online: 419
  • Am meisten online: 2287
  • (22.01.2020, 19:20:24)
Benutzer Online

Autor Thema: [gelöst]  AppArmor notwendig?  (Gelesen 561 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

[gelöst] AppArmor notwendig?
« am: 02.06.2021, 12:14:52 »
Bei meinem System ist anscheinend AppArmor installiert. Das führt beim Booten zu einem Fehler:
AppArmor-Analysefehler f?r /var/lib/snapd/apparmor/profiles/snap-confine.core.9066 in /var/lib/snapd/apparmor/profiles/snap-confine.core.9066 in Zeile 11: >>/var/lib/snapd/apparmor/snap-confine<< konnte nicht ge?ffnet werden

Ich habe AppArmor nicht bewußt installiert. Snapd und snapd-confine sind auch nicht installiert (evtl. war es mal versehentlich mit einem Paket teporär installiert)

Darf ich AppArmor bedenkenlos aus meinem System entfernen?

Mein System:
Kernel: 5.4.0-73-generic x86_64
Desktop: Cinnamon 4.4.8
Distro: Linux Mint 19.3 Tricia
« Letzte Änderung: 04.06.2021, 23:14:51 von MinuxLintUser »

Re: AppArmor notwendig?
« Antwort #1 am: 02.06.2021, 12:37:31 »
Darf ich AppArmor bedenkenlos aus meinem System entfernen?

Nein. Apparmor ist eine grundlegende Security Komponente die verhindert, dass Anwendungen Dinge tun, die sie nicht tun dürfen.
Ich würde eher den Snap Müll entfernen, dabei aber aufpassen, dass das System heil bleibt. (Stichwort: Systemschnappschuss mit Timeshift erstellen).

Re: AppArmor notwendig?
« Antwort #2 am: 02.06.2021, 17:50:25 »
Ich will es mal so sagen, da LM mit der GNU General Public License  einher kommt. Darfst du selbstverständlich Sachen ändern oder hinzu fügen.
Ob das allerdings Sinn macht, steht auf einem anderen Blatt.  - Würde auch von abraten, sicherheitsrelevante Sachen zu deinstallieren.

https://de.wikipedia.org/wiki/GNU_General_Public_License
« Letzte Änderung: 02.06.2021, 18:09:02 von Moridian »

thebookkeeper

  • aka AnanasDampf
  • *****
Re: AppArmor notwendig?
« Antwort #3 am: 03.06.2021, 00:00:13 »
Damit AppArmor funktioniert, muss in /etc/default/grub in Zeile GRUB_CMDLINE_LINUX_DEFAULT=" eingefügt werden:
security=apparmor apparmor=1
Danach im Terminal:
sudo update-grub
Wenn AppArmor installiert ist und funktioniert, dann sieht das so aus:
thebookkeeper@Dell-DV051:~$ sudo aa-status
[sudo] Passwort für thebookkeeper:
apparmor module is loaded.
19 profiles are loaded.
19 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/freshclam
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/lightdm/lightdm-guest-session
   /usr/lib/lightdm/lightdm-guest-session//chromium
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/ippusbxd
   /usr/sbin/tcpdump
   man_filter
   man_groff
   system_tor
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /usr/sbin/cups-browsed (859)
   /usr/sbin/cupsd (759)
   system_tor (1011)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
thebookkeeper@Dell-DV051:~$

Evtl. schau mal hier => https://wiki.ubuntuusers.de/AppArmor/#Installation

... Darf ich AppArmor bedenkenlos aus meinem System entfernen? ...
Wenn AppArmor eh' nicht aktiv, dann wäre möglich:
sudo apt-get purge apparmoraber libapparmor sollte im System bleiben.

Re: AppArmor notwendig?
« Antwort #4 am: 03.06.2021, 02:00:13 »
Bei meinem System ist anscheinend AppArmor installiert. Das führt beim Booten zu einem Fehler:
AppArmor-Analysefehler f?r /var/lib/snapd/apparmor/profiles/snap-confine.core.9066 in /var/lib/snapd/apparmor/profiles/snap-confine.core.9066 in Zeile 11: >>/var/lib/snapd/apparmor/snap-confine<< konnte nicht ge?ffnet werden
Wenn snapd deinstalliert wurde, sollte m.W. auch kein Verzeichnis /var/lib/snapd/ mehr vorhanden sein. Ich würde zuerst einmal folgendes aufrufen
apt purge snapd

Re: AppArmor notwendig?
« Antwort #5 am: 03.06.2021, 02:08:00 »
Damit AppArmor funktioniert, muss in /etc/default/grub in Zeile GRUB_CMDLINE_LINUX_DEFAULT=" eingefügt werden:
security=apparmor apparmor=1
Kann ich nicht bestätigen. Ich habe für AppArmor meine /etc/default/grub nicht anpassen müssen - der Code ist bei mir nicht eingefügt. Dennoch läuft der apparmor.service und aa-status sieht hier auch gut aus.
systemctl status apparmor.service
sudo aa-status

Re: AppArmor notwendig?
« Antwort #6 am: 03.06.2021, 02:40:18 »
Wenn AppArmor eh' nicht aktiv …
gäbe es vermutlich auch keine Fehlermeldung.
Die angenommene Inaktivität ist dann ein Trugschluss und sollte nicht zum bedenkenlosen Entfernen führen. 

Re: AppArmor notwendig?
« Antwort #7 am: 04.06.2021, 23:14:11 »
Habe wie vogeschlagen snapd entfernt:
apt purge snapdJetzt läuft der service ohne Fehler:
systemctl status apparmor
● apparmor.service - AppArmor initialization
   Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
   Active: active (exited) since Fri 2021-06-04 23:04:58 CEST; 5min ago
     Docs: man:apparmor(7)
           http://wiki.apparmor.net/
  Process: 742 ExecStart=/etc/init.d/apparmor start (code=exited, status=0/SUCCESS)
 Main PID: 742 (code=exited, status=0/SUCCESS)
sudo apparmor_status
apparmor module is loaded.
20 profiles are loaded.
18 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/lightdm/lightdm-guest-session
   /usr/lib/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/ippusbxd
   /usr/sbin/tcpdump
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   man_filter
   man_groff
2 profiles are in complain mode.
   libreoffice-oopslash
   libreoffice-soffice
3 processes have profiles defined.
3 processes are in enforce mode.
   /sbin/dhclient (1298)
   /usr/sbin/cups-browsed (1055)
   /usr/sbin/cupsd (1004)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Danke für Eure schnelle und kompetente Hilfe!
Siegmund