Анчоусы, подскажите плиз. Выбрал Debian как десктопную ОС для всего, разработки, игр и прочего. Заодно стал разбираться в кибер-безопасности и дошел до Mandatory Access Control (MAC). Руководствуясь CIS, мой выбор пал на apparmor. Но столкнулся со следующей серьезной проблемой.
1) По дефолту AppArmor выключен в Debian (но вроде бы включен в Ubuntu и OpenSuse).
2) Чтобы его просто включить нужно много настраивать
3) Нужно дополнительно к apparmor установить apparmor-utils
4) После того как создал профайл и написал полис с расширением файлов, то есть:
/home/ololosha/s.sh {
/home/ololosh/1.txt w,
}
apparmor выдаст ошибку:
error while loading shared libraries: libtinfo.so.6: cannot open shared object file: No such file o directory
5) Потом оказалось, что apparmor разделен на 2 части, клиентская и Linux Security Module (LSM). Чтобы его включить тоже надо написать несколько строк в консоли.
6) Оказалось, что libtinfo.so.6 может быть вообще не причем, возможно это отсутствие каких-то посреднеческих скриптов или интерфейсов, но выяснить это так и не удалось. Библиотека присутствует в системе в виде симлинка libtinfo.so.6 к libtinfo.so.6.2
7) Потом я убрал расширение файла из имя полиса:
/home/ololosha/s {
/home/ololosh/1.txt w,
}
и получил ошибки:
Cache read/write disabled: interface file missing. (Kernel needs AppArmor 2.4 compatibility patch.)
Warning: unable to find a suitable fs in /proc/mounts, is it mounted?
8) AppArmor 2.4 compatibility patch содержит нужные интерфейсы и скачать его можно, скачав вместе с исходниками apparmor. Но версий apparmor и этого патча там много и какой именно нужно устанавливать или нужно ли устанавливать их по-очереди нигде не написано.
9) Чтобы установить патч в линукс ядро нужно либо использовать команду patch, которая требуют компиляции ядра потом, либо использовать live patching. Но live patching программа kpatch требует, чтобы ядро линукса было скомпилировано с опцией "CONFIG_LIVEPATCH_PER_TASK_CONSISTENCY". Эта опция должна быть проставлена в /boot/config-5.10.0-18-amd64 или /boot/config-5.10.0-21-amd64 но там есть только "CONFIG_HAVE_LIVEPATCH=y" and "CONFIG_LIVEPATCH=y", что скорее всего не то, что нужно. Поэтому live patching тоже ведет к компиляции ядра. При этом своего пакета для Live patching я не нашел при быстром поиске. В stretch был доступен kpatch но в bullseye уже нет. Все это я нашел только просмотрев страниц 400 и конкретно эту информацию смог найти на страницах 40 по кусочкам. При этом установил версий 6 debian с разными окружениями рабочего стола, и покрутил много разных других настроек, чтобы понять, что вообще не работает. Хотя когда выбирал ОС, думал, что у неё огромное комьюнити и все гайды доступны и хорошо прописаны. На этом я, наверное, закончу пробовать запустить apparmor и пока поживу без MAC, потому что потратил уже около месяца на это, при этом я не хочу лезть дальше настройки кибер-безопасности в конфигурирование ядра ОС.
Вопросы такие:
1) Кто-нибудь уже сталкивался с этим и можно ли как-нибудь обойтись без компиляции ядра, чтобы запустить apparmor на debian?
2) С другим MAC, например SELinux те же проблемы? Легко ли запустить и настроить другой MAC?
3) Насколько часто встречаются подобные проблемы в Debian? Насколько MAC - редкая система, что там нет нужных патчей в ядре? Ничего другого в Debian я пока еще не делал, то есть даже драйвера для видюхи не устанавливал. Если я дальше продолжу настраивать систему, возможно ли такое, что для установки другого софта тоже потребуется компиляция? Допустим для тех же драйверов для видюхи, или какой-нибудь среды разработки для языка программирования? Вроде бы у меня не сложилось такого впечатления, что Debian это ОС для Linux инженеров, но кто знает.
4) В Ubuntu apparmor работает без проблем?