SPECS: apache-mod_apparmor.spec (NEW) - new

[Zbyniu Krzystolik]

Mniej wiecej Mon, Dec 11, 2006 at 11:05:36AM +0100, zainteresowany Arkadiusz Miskiewicz rzekl:
> On Monday 11 December 2006 01:44, Zbyniu Krzystolik wrote:
> 
> > > Nie chodzi o flame tylko o to czy mod_apparmor można używać w jakiś fajny
> > > sposób (np. różne konteksty dla różnych virtualek) ? Normalnie tak się
> > > daje robić (via selinuxa) tylko dla skryptów CGI, dla shared .so się nie
> > > da (a wynika to ze sposóbu działania selinuxa).
> >
> > Właśnie cała radość w tym, że tak. I pewnie dlatego tak ktoś ujął ten
> > opis. :)
> > Można definiować profile (konteksty wykonania) per Directory, Location,
> > Vhost, łącznie z obsługą mod_php. Jeszcze nie odpalałem, jutro od rana
> > będę to dręczył.
> 
> Wow, coś pięknego :-)  Trzeba się będzie zainteresować.

Działa zgodnie z intencjami :). Szkoda, że to tylko dostęp do plików,
brakuje odrobinę ograniczeń na gnizdka sieciowe, limitów itd, no ale
cóż - to i tak b. miłe rozwiązanie.

> > Zestaw do samodzielnego montażu:
> > ftp://ftp.iapt.pl/wypieki/  (pndir)
> > - jądro kernel-grsecurity-*2.6.16.34-1 to pldowe + apparmor. Musi być
> >   append="capability.disable=1", bo to cholerny LSM.
> > - *apparmor*
> Poczekam aż wszystko commitniesz.

Łatkę dla jądra 2.6.16 dołożyłem, narzędzia są do dopracowania:
- nie ma skryptów startowych, oryginalne są okropne przez wsteczną
  kompatybilność
- profile w wielu miejscach mają się nijak do PLD, mogę je przeportować
  (z polityk grsec), ale musi byc wola w narodzie do używania ich.

Zbyniu
-- 
%% Absolutely nothing we trust %%