Ho generato un profilo di apparmor per il tor binario che viene fornito in Ricochet:
# Last Modified: Sun Apr 2 2017
#include <tunables/global>
/ricochet/*-ricochet/tor {
#include <abstractions/base>
deny /etc/ld.so.preload r,
deny /proc/sys/kernel/random/uuid r,
/ricochet/*-ricochet/config/tor/ rwk,
/ricochet/*-ricochet/config/tor/ r,
/ricochet/*-ricochet/config/tor/cached-certs r,
/ricochet/*-ricochet/config/tor/cached-microdesc-consensus r,
/ricochet/*-ricochet/config/tor/cached-microdescs r,
/ricochet/*-ricochet/config/tor/cached-microdescs.new r,
/ricochet/*-ricochet/config/tor/control-port w,
/ricochet/*-ricochet/config/tor/control-port.tmp rw,
/ricochet/*-ricochet/config/tor/default_torrc r,
/ricochet/*-ricochet/config/tor/lock rwk,
/ricochet/*-ricochet/config/tor/state rw,
/ricochet/*-ricochet/config/tor/state.tmp rw,
/ricochet/*-ricochet/config/tor/torrc r,
/ricochet/*-ricochet/tor mr,
deny /sys/devices/system/cpu/ r,
/usr/share/tor/geoip r,
/usr/share/tor/geoip6 r,
}
Non sono sicuro di quanto sia sensibile /proc/sys/kernel/random/uuid così li ho negati. Ricochet si apre bene con loro negato. Dimmi se dovrei consentire loro però ...
La mia più grande preoccupazione è /usr/share/tor/geoip . L'ho impostato per la sola lettura, ma sto ancora ricevendo lamentele su journalctl:
$ journalctl -af
Apr 02 <uname removed> kernel: audit: type=1400 audit(1491170231.720:200): apparmor="DENIED" operation="open" profile="/ricochet/<removed>-ricochet/tor" name="/usr/share/tor/geoip" pid=2563 comm="tor" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Apr 02 <uname removed> kernel: audit: type=1400 audit(1491170231.720:201): apparmor="DENIED" operation="open" profile="/ricochet/<removed>-ricochet/tor" name="/usr/share/tor/geoip6" pid=2563 comm="tor" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Qualcuno può aiutarmi a eseguire il debug di questo? Perché l'apparmor nega l'accesso r ?