User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Comment activer apparmor (Pi 4 sous Raspbian) ?

Sun Aug 25, 2019 4:38 pm

Bonjour,

Heureux possesseur de Pi 4 depuis peu, je suis épaté par la facilité avec laquelle tout ceci s'est installé (ligne de commande). La configuration, les mises à jour, l'ajout de programmes se sont déroulés sans problème. L'affichage est fluide, le son est bon, les vidéos sont lues, en réseau local ou depuis le tube, la TV est reçue et enregistrée ... Le principal est là et bien là, bravo !

Une fois tout ceci acquis, on commence à regarder les détails, à essayer d'améliorer ou de faire tourner certains trucs dont on avait l'habitude et qui ne sont pas opérationnels. Quand on vient de MINT, le look tout plat bicolore n'est pas des plus agréables. L'explorateur de fichiers manque sérieusement d'options par rapport à Nemo. Bref, tout n'est pas parfait mais on peut espérer du mieux à l'avenir. Je passe là dessus.

Il y a en fait deux points qui me gênent vraiment :
1 : l'affichage des noms de fichiers sur les partages réseau, qui habituellement se passent bien entre mes systèmes linux et windows. (j'y reviendrai dans un autre sujet)
2 : le message persistant indiqué dans le titre : apparmor module not loaded lorsque je fais un sudo aa-status

Pourtant j'ai lu à de nombreux endroits que apparmor est activé de base sur Buster. Il semble bien que ce n'est pas le cas sur Raspbian - Buster
J'ai fait une recherche de "apparmor" dans ce forum et sur le général sans trouver d'explication. Est-ce que quelqu'un saurait me dire ce qui cloche svp ?

Cordialement
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Thu Aug 29, 2019 11:08 am

Bonjour à tous,

J'ai renommé mon sujet car il ne semblait pas interpeller grand monde.
J'ai depuis essayé ces trois trucs sans succès :
# Insérer apparmor=1 security=apparmor dans /boot/cmdline.txt : ko
# Insérer apparmor=1 security=apparmor dans /boot/config.txt : ko
# Ajouter apparmor au fichier /etc/modules-load.d/modules.conf : ko

Est-ce que personne n'utilise apparmor ?
Cordialement
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

nikotinux
Posts: 706
Joined: Sat Feb 02, 2013 2:11 am

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Thu Aug 29, 2019 12:32 pm

systemctl enable apparmor.service
systemctl status apparmor.service

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Thu Aug 29, 2019 5:31 pm

Bonsoir
Merci nikotinux pour cette piste que je n'avais pas envisagée car je pensais à une configuration au démarrage, pas à une commande interactive persistante. Malheureusement, cela ne semble pas être suffisant.

Code: Select all

sudo systemctl status apparmor.service
● apparmor.service - Load AppArmor profiles
   Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
   Active: inactive (dead)
Condition: start condition failed at Thu 2019-08-29 18:37:31 CEST; 1min 5s ago
           └─ ConditionSecurity=apparmor was not met
     Docs: man:apparmor(7)
           https://gitlab.com/apparmor/apparmor/wikis/home/
J'ai tenté de mettre apparmor=1 security=apparmor dans /boot/cmdline.txt et/ou dans /boot/config.txt en plus d'essayer ce que tu conseilles mais pas mieux (plusieurs essais, avec ou sans la modification des fichiers texte, en activant avant ou après reboot, rien). J'ai même essayé ConditionSecurity=apparmor au lieu de security=apparmor qu'on trouve conseillé à de nombreux endroits sur le web.
Les docs suggérés sont généraux et non directement liés à l'erreur indiquée ...

Que faire ?
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Fri Aug 30, 2019 6:24 am

Bonjour
J'ai trouvé ce lien qui relate la même erreur et indique que la solution passe par un autre kernel ... :?
Sauf que l'on n'a pas le choix dans ce qui est disponible :(
Le dossier apparmor n'existe pas dans /sys/module ce qui semble confimer le message apparmor module not loaded
Pourquoi ce module ne serait-il pas inclu dans le kernel alors qu'il est dit que Buster embarque apparmor nativement ?

Bonne journée
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

JumpZero
Posts: 1050
Joined: Thu Mar 28, 2013 7:35 pm
Location: 127.0.0.1

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Fri Aug 30, 2019 7:21 am

Bjr,
ne serait-ce pas un problème de plateforme: apparmor n'est pas dispo sur le kernel de base raspberry pi, bien que le package Debian soit là?
Alors qu'il est présent avec les kernels x86; il faudrait donc recompiler un kernel armhf pour le pi.
Tout ça au conditionnel..; voir et creuser par là https://github.com/raspberrypi/firmware/issues/468

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Fri Aug 30, 2019 7:50 am

Merci pour ta réponse JumpZero,

En effet, c'est bien ce que je craignais. J'avais pourtant vu dans cet article que apparmor est activé par défaut sur (Debian) Buster et je supposais que cela avait été conservé dans la version ARMhf ...

S'il faut recompiler un kernel je suis mal. Je n'ai pas la pratique :cry:
Cordialement
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

nikotinux
Posts: 706
Joined: Sat Feb 02, 2013 2:11 am

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Fri Aug 30, 2019 12:08 pm

Sans Rpi4 sous la main je ne peut guère aller plus loin ...

Bravo a Pulsar33 de s'inquiéter de l’état de ce magnifique outil de sécurité qui a eu au moins le mérite d'alimenter des débats passionnés sur son intérêt comparé a celui de SElinux...

Ca me fait penser a ces boîtiers détecteurs de fumée dont on nous vendu les mérites il y a quelques mois. J'en ai mis partout histoire de couper court a toute discussion, mais sans les piles !

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Fri Aug 30, 2019 6:01 pm

Bonsoir,

Un peu d'ironie dans ta réponse ?
Selon ma parano, tout logiciel faiblement contrôlé par la communauté devrait être limité de l'une de ces deux façons :
- soit il doit accèder à des données sensibles, alors il n'accède pas à l'extérieur de la machine
- soit il doit accèder à l'extérieur de la machine alors il n'accède pas à des données sensibles
Il me semble que apparmor permet de mettre en place ces deux stratégies nativement.
C'est du moins ce que j'ai cru jusqu'à présent. Est-ce que je me suis fait des idées ?

Cordialement
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Fri Aug 30, 2019 6:31 pm

Surprise :!:

J'avais installé sur mon Desktop Mint 19.2 la machine virtuelle Raspberry Pi Desktop comme VM sous Virtual Box. Après l'installation, j'avais fait un full-upgrade. Je viens de faire sudo aa-status et j'obtiens sans rien configurer :

apparmor module is loaded
18 profiles are loaded
16 profiles are in enforced mode
puis la liste en question ...

Etrange, non ?
Pulsar33

PS : pour info, sur la Pi4 matérielle, le full-upgrade en propose rien, tout est à jour.
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

nikotinux
Posts: 706
Joined: Sat Feb 02, 2013 2:11 am

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Fri Aug 30, 2019 10:28 pm

ca prouve que le problème vient bien du kernel ARM ...

Quant a ma pointe d'ironie, c'est parce que je considère qu'un système de sécurité (en autre ...) doit avant tout être accessible pour être efficace. Genre un gros bouton rouge qui clignote en cas de problème plutôt que 25 lignes de codes indéchiffrables ...
Les auteurs de apparmor sont sûrement des bêtes en programmation mais aussi des autistes aggravés. Il faut 3 jours sur le net pour trouver une doc lisible, deux mois retiré du monde pour l'ingurgiter et presque autant pour assimiler les messages perdus dans le kernel.log ! C'est dommage mais je ne crois pas être le seul a avoir laissé tomber l'affaire !

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Sat Aug 31, 2019 8:09 am

Bonjour,

Sur ce point je ne peux que te donner raison :roll: Il manque au moins une documentation "niveau utilisateur lambda" et même si possible une interface graphique qui prendrait en charge la traduction des souhaits utilisateur en directives adaptées. Mais bon, il y a de nombreux profils prédéfinis, que l'on peut amender sans tout casser.

Pour le kernel, c'est bien triste pour moi, d'autant plus qu'intégrer ces protections ne serait pas si pénalisant pour ceux qui ne les souhaitent pas. Il leur suffirait de faire un disable et c'est la position adoptée par Debian, Mint ...

Je vais déjà poster la description dans ce sujet.

Bonne journée
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Sat Aug 31, 2019 9:50 am

Premier signalement
Cordialement
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Sat Aug 31, 2019 2:17 pm

Bug report
Bonne journée
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Mon Sep 09, 2019 5:00 am

Bonjour,

Pour info : discussion en cours
J'espère que ça va passer.
En attendant, j'ai recompilé le noyau et apparmor est actif. Je teste actuellement.

Bonne journée
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

nikotinux
Posts: 706
Joined: Sat Feb 02, 2013 2:11 am

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Mon Sep 09, 2019 10:11 am

Chouette !

Ce sujet va réveiller les trolls "whouai ... linux ... bouhhhh ... recompiler le noyau a la main gniiiain..gniiiain..gniiiain.." !!!

amadeous
Posts: 3
Joined: Mon Feb 17, 2020 5:13 pm

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Mon Feb 17, 2020 5:40 pm

Bonjour,

J'ai essayé plusieurs fois de cross-compiler (dans une VM Ubuntu 18.04 LTS) un kernel dans le but d'avoir Apparmor activé pour pouvoir utiliser des containers LXC sur mon Raspberry Pi 3B+ (il semblerait que LXC ne fonctionne pas sans)...

J'ai suivi la documentation de Raspbian pour cross-compiler un kernel (ici: https://www.raspberrypi.org/documentati ... uilding.md). Après avoir téléchargé les sources, j'ai modifié le fichier /linux/arch/arm/configs/bcm2709_defconfig pour y ajouter les constantes CONFIG_* présentes en bas de cette issue: https://github.com/raspberrypi/linux/issues/1555. J'ai ensuite utilisé les deux commandes make de la documentation Raspbian pour compiler le kernel. Finalement, comme dans la doc, j'ai copié le kernel sur une carte SD fonctionnelle de Raspbian afin d'utiliser le kernel fraîchement compilé.

Mon pi boot correctement et je peux me connecter dessus mais je constate avec aa-status qu'Apparmor n'est pas loadé. De plus, en cherchant avec modprobe a (puis tabulation), ne trouve aucune trace de apparmor...

De toute évidence, je dois avoir manqué une étape... Sauriez-vous laquelle ? Faut-il renseigner des flags supplémentaires en paramètre de make ?

Merci d'avance pour votre aide ! :)

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Mon Feb 17, 2020 7:21 pm

Bonsoir,

Je recompile directement le kernel sur plusieurs RPi4 sous Raspbian chaque fois que nécessaire en suivant la méthode suivante :

Code: Select all

>> Installer les outils (si besoin)
sudo apt update
sudo apt upgrade
sudo apt autoremove (si suggéré)
sudo apt install git bc bison flex libssl-dev
sudo apt install libncurses5-dev

>> Récupérer les sources
git clone --depth=1 https://github.com/raspberrypi/linux
cd linux
KERNEL=kernel7l

>> Ajuster la configuration (étape nécessaire)
make menuconfig
=> Ne rien modifier ici, c'est trop compliqué
Exit et Save

Editer "/linux/arch/arm/configs/bcm2711_defconfig" et ajouter :
CONFIG_KEYS=y
CONFIG_SECURITY=y
CONFIG_SECURITYFS=y
CONFIG_SECURITY_NETWORK=y
CONFIG_SECURITY_PATH=y
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
CONFIG_SECURITY_APPARMOR_HASH=y
CONFIG_INTEGRITY=y
CONFIG_INTEGRITY_AUDIT=y

>> Créer la configuration par défaut
make bcm2711_defconfig

>> Compiler le kernel ...
make -j4 zImage modules dtbs
sudo make modules_install
sudo cp arch/arm/boot/dts/*.dtb /boot/
sudo cp arch/arm/boot/dts/overlays/*.dtb* /boot/overlays/
sudo cp arch/arm/boot/dts/overlays/README /boot/overlays/
sudo cp arch/arm/boot/zImage /boot/$KERNEL.img

>> Rebooter
Effacer le dossier linux (il vaut mieux le retélécharger juste avant de régénérer)
Adapter la procédure au fait que c'est une RPi3 et non une RPi4
Sur RPi4 : environ 50 minutes à 100% CPU ... Ventilation souhaitable.

Cordialement
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

amadeous
Posts: 3
Joined: Mon Feb 17, 2020 5:13 pm

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Tue Feb 18, 2020 9:11 am

Ah, il me manquait la partie « menu de configuration »..
Merci beaucoup pour ta réponse rapide et la procédure ! Je vais tester ça ce soir.

Je pensais, peut-être naïvement, que la compilation du kernel directement sur le Pi serait mauvaise pour la carte SD puisque ça implique beaucoup beaucoup d'écriture et je cherchais à éviter cela avec une cross-compilation.

Bonne journée et merci encore !

amadeous
Posts: 3
Joined: Mon Feb 17, 2020 5:13 pm

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Wed Feb 19, 2020 9:14 pm

J'ai finalement réussi à compiler un kernel avec Apparmor activé ! Merci beaucoup @Pulsar33 ! :D

User avatar
Pulsar33
Posts: 151
Joined: Sun Aug 25, 2019 4:06 pm
Location: Bordeaux France

Re: Comment activer apparmor (Pi 4 sous Raspbian) ?

Thu Feb 20, 2020 12:17 am

Avec plaisir !
Bonne continuation
Pulsar33
Pi 4 with 4Gb memory, DVB TV pHAT ------------------- Desktop : Core i5 Linux MINT 19.3

Return to “Français”