SPECS: apache-mod_apparmor.spec (NEW) - new

[Arkadiusz Miskiewicz]

On Tuesday 12 December 2006 02:16, Zbyniu Krzystolik wrote:

> > Wow, coś pięknego :-)  Trzeba się będzie zainteresować.
>
> Działa zgodnie z intencjami :). Szkoda, że to tylko dostęp do plików,
> brakuje odrobinę ograniczeń na gnizdka sieciowe, limitów itd, no ale
> cóż - to i tak b. miłe rozwiązanie.

Gniazdka sieciowe można nieco ograniczyć via grsecurity, limity takie jak daje 
ulimit są w apaczu. Najważniejszym problemem i tak był dostęp do plików dla 
mod_xyz, którego do tej pory nic sensownie nie rozwiązywało.

>
> > > Zestaw do samodzielnego montażu:
> > > ftp://ftp.iapt.pl/wypieki/  (pndir)
> > > - jądro kernel-grsecurity-*2.6.16.34-1 to pldowe + apparmor. Musi być
> > >   append="capability.disable=1", bo to cholerny LSM.
> > > - *apparmor*
> >
> > Poczekam aż wszystko commitniesz.
>
> Łatkę dla jądra 2.6.16 dołożyłem, narzędzia są do dopracowania:
> - nie ma skryptów startowych, oryginalne są okropne przez wsteczną
>   kompatybilność

Napisać własny będzie trzeba.

> - profile w wielu miejscach mają się nijak do PLD, mogę je przeportować
>   (z polityk grsec), ale musi byc wola w narodzie do używania ich.

Pakiet z profilami znów do poszatkowania na podpakiety tak by mieć osobno gołę 
narzędzia z gotową pustą strukturą katalogów + podpakiet z abstracjami + 
podpakiet z przykładowymi politykami.

> Zbyniu

U mnie póki co aa-genprof nie znajduje w logach nic sensownego (mimo, iż 
apparmor ładnie loguje co trzeba) i tym samym generuje durną, pustą politykę.

-- 
Arkadiusz Miśkiewicz        PLD/Linux Team
arekm / maven.pl            http://ftp.pld-linux.org/