PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Schwierigkeiten mit AppArmor bei syslog-ng mit MySQL



mamue
19.05.09, 11:03
Hallo,
ich versuche, die Windows-events zentral zu sammeln. Das geht mit snare und syslog-ng eigentlich ganz gut. Allerdings macht das mit Dateien wenig Sinn, also habe ich eine syslog eine Datenbank spendiert:


destination dest_windows_mysql {
program("/usr/bin/mysql --user=syslogfeeder --password=geh-heim syslog"
template("INSERT INTO syslog
(host, facility, priority, level, tag, date, time, program, msg)
VALUES ( '$HOST', '$FACILITY', '$PRIORITY',
'$LEVEL', '$TAG','$YEAR-$MONTH-$DAY',
'$HOUR:$MIN:$SEC','$PROGRAM', '$MSG' );\n")
template-escape(yes));
};

Das funktioniert aber leider nur, wenn ich AppArmor abschalte. Ich habe mir AppArmor ein wenig angschaut und festgestellt, dass ich davon keinen Plan habe.
Kann mir jemand sagen,
1) ob man AppArmor auf einem Fileserver genausogut abgeschaltet lassen kann
2) wie man Apparmor (über die Datei /etc/apparmor.d/sbin.syslog-ng, nehme ich an) beibringt, dass der Zugriff auf mysql funktioniert?

Danke
mamue

marce
19.05.09, 11:23
AA habe ich bisher auch nur getestet, aber:
- ob Du es abschalten kannst hängt von Deinem Sicherheitsbedürfnis ab.
- AA hat einen Debug/Lernmodus, in dem es über den Betrieb Logs erstellt, aus der es/man dann entsprechende Konfigs erstellen kann.

mamue
19.05.09, 12:17
Mercy!
Der protokolliert schon. Ich sehe so etwas:


type=APPARMOR_DENIED msg=audit(1242721655.949:122732):
operation="inode_permission" requested_mask="x::" denied_mask="x::"
fsuid=0 name="/bin/bash" pid=1309 parent=17345 profile="/sbin/syslog-ng"

Ich sollte also AppArmor beibringen, dass syslog mit seiner uid 0 auch eine shell ausführen darf :-D
Ich lass mal AppArmor laufen, die Sicherheit ist halt wichtig...

mamue