<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Indeed, one compelling use of AppArmor is to create root-subset

profiles for hard links to /bin/bash so as to effectively partition

administrative privs.<br>

<br>

Even root users, when executing within a confined profile, are

constrained - that's the mandatory access control aspect of AppArmor.<br>

<br>

You can literally give someone a profiled shell with root privs and let

them try to do something the profile doesn't allow.&nbsp; If you don't give

them "ls", they'll be unable to list their current directory, anywhere,

as long as they're confined.<br>

<br>

You can use this to create profiles for backup operators, help desk

technicians, Human Resources user creation tasks, or my favorite -<br>

<br>

Oracle Database Administrators - who have root privs to do stuff they

need to do to their Oracle files and directories, and even processes -

but who cannot bounce the machine or reformat disks or do other stuff

they have no need to do.<br>

<br>

It's one approach to an RBAC-sort of control.<br>

<br>

Ed<br>

<br>

Matt Lidestri wrote:

<blockquote cite="mid000201c65a00$467684b0$0201a8c0@Jaluno.local"

 type="cite">

  <div>Hello,</div>

  <div>&nbsp;</div>

  <div>I have used AppArmor a bit, and must say that I like it a lot.&nbsp;

I have used it on a few servers, and in some security competitions.&nbsp; As

a HIPS, it is easy to use and fairly effective (from what I have seen).</div>

  <div>&nbsp;</div>

  <div>I just saw your question and it sparked my curiousity.&nbsp; From

some quick googling, I presume that cap_setuid allows a process or call

to be passed as another user (we'll say root for now).&nbsp; I wondered if

root was exempt from the AppArmor rules (although I doubted it), so I

configured my VMed webserver to access a denied config file for

mod_security, and then&nbsp;started apache as root.&nbsp; It failed with an error

from AppArmor claiming that access was denied to the configuration

file.&nbsp; I restored the permissions in AppArmor and received a different

error, apparently the Apache developers were smart enough to disallow

apache to be run as root.&nbsp; Nonetheless, AppArmor would not even let it

get this far, so even root privileges cannot override AppArmor

profiles. </div>

  <div>&nbsp;</div>

  <div>Regards,</div>

  <div>Matt<br>

&nbsp;</div>

  <br>

  <br>

  <div><span class="gmail_quote">On 4/6/06, <b class="gmail_sendername">Brian

Eaton</b> &lt;<a href="mailto:eaton.lists@gmail.com">eaton.lists@gmail.com</a>&gt;

wrote:</span>

  <blockquote class="gmail_quote"

 style="border-left: 1px solid rgb(204, 204, 204); margin: 0px 0px 0px 0.8ex; padding-left: 1ex;">On

4/5/06, Crispin Cowan &lt;<a href="mailto:crispin@novell.com">crispin@novell.com</a>&gt;

wrote:<br>

&gt; Pascal Meunier wrote:

    <br>

&gt; &gt;&nbsp;&nbsp;but as you posted an example profile with "capability

setuid", I must<br>

&gt; &gt; admit I am curious as to why an email client needs that.<br>

&gt; Well now that is a very good question, but it has nothing to do

with

    <br>

&gt; AppArmor. The AppArmor learning mode just records the actions that

the<br>

&gt; application performs. With or without AppArmor, the Thunderbird

mail<br>

&gt; client is using cap_setuid. AppArmor gives you the opportunity to

*deny*

    <br>

&gt; that capability, so you can try blocking it and find out. But for<br>

&gt; documentation on why Thunderbird needs it, you would have to look

at<br>

&gt; <a href="http://mozilla.org">mozilla.org</a> not the AppArmor

pages.

    <br>

    <br>

Does cap_setuid give a program enough authority to break out of the<br>

AppArmor profile?<br>

    <br>

Regards,<br>

Brian<br>

    <br>

_______________________________________________<br>

Full-Disclosure - We believe in it.<br>

Charter: <a

 href="http://lists.grok.org.uk/full-disclosure-charter.html">http://lists.grok.org.uk/full-disclosure-charter.html</a><br>

Hosted and sponsored by Secunia - <a href="http://secunia.com/">http://secunia.com/</a><br>

  </blockquote>

  </div>

  <br>

  <br clear="all">

  <br>

-- <br>

Matt Lidestri

  <pre wrap="">

<hr size="4" width="90%">

_______________________________________________

Full-Disclosure - We believe in it.

Charter: <a class="moz-txt-link-freetext" href="http://lists.grok.org.uk/full-disclosure-charter.html">http://lists.grok.org.uk/full-disclosure-charter.html</a>

Hosted and sponsored by Secunia - <a class="moz-txt-link-freetext" href="http://secunia.com/">http://secunia.com/</a></pre>

  <pre wrap="">

<hr size="4" width="90%">

_______________________________________________

Apparmor-dev mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Apparmor-dev@forge.novell.com">Apparmor-dev@forge.novell.com</a>

<a class="moz-txt-link-freetext" href="http://forge.novell.com/mailman/listinfo/apparmor-dev">http://forge.novell.com/mailman/listinfo/apparmor-dev</a>

  </pre>

</blockquote>

<br>

</body>

</html>