Fórum Ubuntu CZ/SK

Ubuntu pro osobní počítače => Obecná podpora => Téma založeno: RNA 22 Června 2010, 21:45:02

Název: Kde sehnat Apparmor profil pro vsftpd
Přispěvatel: RNA 22 Června 2010, 21:45:02

Marně sháním soubor usr.sbin.vsftpd, který je sice inzerovaný zde: http://packages.ubuntu.com/en/lucid/i386/apparmor-profiles/filelist (http://packages.ubuntu.com/en/lucid/i386/apparmor-profiles/filelist)
ale když jsem spáchal toto:
apt-get install apparmor-profiles, tak jsem získal pouze:

abstractions    tunables                           usr.sbin.cupsd
apache2.d       usr.bin.evince                     usr.sbin.dnsmasq
bin.ping        usr.bin.firefox                    usr.sbin.dovecot
cache           usr.lib.dovecot.deliver            usr.sbin.identd
disable         usr.lib.dovecot.dovecot-auth       usr.sbin.mdnsd
force-complain  usr.lib.dovecot.imap               usr.sbin.nmbd
program-chunks  usr.lib.dovecot.imap-login         usr.sbin.nscd
sbin.dhclient3  usr.lib.dovecot.managesieve-login  usr.sbin.smbd
sbin.klogd      usr.lib.dovecot.pop3               usr.sbin.tcpdump
sbin.syslogd    usr.lib.dovecot.pop3-login         usr.sbin.traceroute
sbin.syslog-ng  usr.sbin.avahi-daemon

Bohužel vsftpd tam není. Nějakou dobu jsem koukal do manuálu i do výše uvedených souborů, že bych si to jako napsal sám, ale to bych musel přesně vědět, jaké všechny soubory vsftpd při své činnosti potřebuje. Kdybych měl funkční vzor, drobné úpravy bych už si udělal.   Protože provozuji FTP server bez SSL, chtěl bych alespoň co nejvíc omezit možnosti případných záškodníků.
Soudruh Google v tomto případě jen mlží, nebo směruje někam jinam.

Název: Re: Kde sehnat Apparmor profil pro vsftpd
Přispěvatel: arrange 22 Června 2010, 22:18:52

Ale je to tam, špatně jsi hledal  ;)

Kód: [Vybrat]

# $Id$
# ------------------------------------------------------------------
#
#    Copyright (C) 2002-2005 Novell/SUSE
#
#    This program is free software; you can redistribute it and/or
#    modify it under the terms of version 2 of the GNU General Public
#    License published by the Free Software Foundation.
#
# ------------------------------------------------------------------

#include <tunables/global>

/usr/sbin/vsftpd {
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/authentication>

  /dev/urandom               r,
  /etc/fstab                 r,
  /etc/hosts.allow           r,
  /etc/hosts.deny            r,
  /etc/mtab                  r,
  /etc/shells             r,
  /etc/vsftpd.*              r,
  /etc/vsftpd/*              r,
  /usr/sbin/vsftpd     rmix,
  /var/log/vsftpd.log        w,
  /var/log/xferlog           w,
  # anon chroots
  /                          r,
  /pub                       r,
  /pub/**                    r,
  @{HOMEDIRS}                r,
  @{HOME}/**                 rwl,
}


Název: Re: Kde sehnat Apparmor profil pro vsftpd
Přispěvatel: RNA 23 Června 2010, 10:25:14

Zkopíroval jsem to vocuď, nenašel jsem...  Dík.   :)

Název: Re: Kde sehnat Apparmor profil pro vsftpd
Přispěvatel: RNA 23 Června 2010, 12:06:54

Ale nedaří se... jakmile na to vsftpd spustím apparmor, tak se nepřihlásím:
11:58:13   Stav:   Připojuji se k 88.xxx.xxx.xx:21
11:58:13   Stav:   Spojení navázáno, čekám na uvítací zprávu...
11:58:13   Odpověď:   500 OOPS: setgroups
11:58:13   Chyba:   Kritická chyba
11:58:13   Chyba:   Nelze se spojit se serverem


Na různé 500 OOPS: setgroups jsem vygůglil ledacos, jen ne odpověď. 
Co mu může vadit?  Je tam jediný uživatel ftp s adresářem /home/ftp.

Název: Re: Kde sehnat Apparmor profil pro vsftpd
Přispěvatel: arrange 23 Června 2010, 20:21:40

Co píše apparmor do syslog?

Název: Re: Kde sehnat Apparmor profil pro vsftpd
Přispěvatel: RNA 23 Června 2010, 20:34:05

Nějak takhle:
Jun 23 20:28:20 minik kernel: [31791.047861] type=1505 audit(1277317700.815:114):
Jun 23 20:28:20 minik kernel: [31791.128929] type=1505 audit(1277317700.899:115):
Jun 23 20:28:20 minik kernel: [31791.209806] type=1505 audit(1277317700.979:116):
Jun 23 20:28:21 minik kernel: [31791.384111] type=1505 audit(1277317701.152:117):
Jun 23 20:28:21 minik kernel: [31791.541278] type=1505 audit(1277317701.312:118):
Jun 23 20:28:22 minik kernel: [31793.119025] lo: Disabled Privacy Extensions
Jun 23 20:28:23 minik kernel: [31793.542616] lo: Disabled Privacy Extensions
Jun 23 20:28:46 minik init: vsftpd main process (1860) killed by TERM signal
Jun 23 20:28:55 minik kernel: [31826.096335] __ratelimit: 39 callbacks suppressed
Jun 23 20:28:55 minik kernel: [31826.096342] type=1503 audit(1277317735.867:132):
Jun 23 20:28:55 minik kernel: [31826.098804] type=1503 audit(1277317735.867:133):

Ovšem právě jsem zjistil, že problém nevypukne hned s restartem apparmoru, ale až s restartem vsftpd v době, kdy je aktivní jeho profil. To znamená, že vsftpd během startu nějak narazí na omezení, která mu postaví do cesty apparmor.
Nicméně je v procesech,
2981 ?        Ss     0:00 /usr/sbin/vsftpd
jenom tak nějak nefunguje.

Edit:  a když pak kilnu a ručně spustím vsftpd , tak napíše 500 OOPS: could not bind listening IPv4 socket. Tohle bude asi ten problém.

Název: Re: Kde sehnat Apparmor profil pro vsftpd
Přispěvatel: arrange 23 Června 2010, 22:41:09

Tady už neporadím bo nevim. Jestli je ale pravda, co píšeš, tj. jsem spáchal toto: apt-get install apparmor-profiles, pak bych ty nové profily prozatím zrušil a pozapínal je poté případně po jednom.

Název: Re: Kde sehnat Apparmor profil pro vsftpd
Přispěvatel: RNA 24 Června 2010, 15:24:47

......
 network,
  capability net_admin,
  capability net_bind_service,



Oprava později: byl jsem příliš rychlý, stále to nechodí...