Changeset 11c3230 for debian


Ignore:
Timestamp:
Apr 14, 2015 1:00:10 AM (5 years ago)
Author:
kytv <kytv@…>
Branches:
master
Children:
e45413d
Parents:
dd99978
Message:

updates to apparmor profiles

  • hardening (restrict access to proc to owner)
  • removing files covered by abstractions
  • indentation per apparmor profile style
Location:
debian/apparmor
Files:
2 edited

Legend:

Unmodified
Added
Removed
  • debian/apparmor/i2p

    rdd99978 r11c3230  
    1 # Last Modified: Thu Jan 29 03:17:01 2015
     1# Last Modified: Sun Apr 12 22:08:32 2015
    22# vim:syntax=apparmor et ts=4 sw=4
    33
     
    1111network inet6 stream,
    1212
    13 # Needed for Java
    14 @{PROC}                                                 r,
    15 @{PROC}/[0-9]*/net/if_inet6                             r,
    16 @{PROC}/[0-9]*/net/ipv6_route                           r,
    17 @{PROC}/[0-9]*/status                                   r,
    18 /dev/random                                             r,
    19 /dev/urandom                                            r,
    20 /sys/devices/system/cpu/                                r,
    21 /sys/devices/system/cpu/**                              r,
     13  # Needed by Java
     14  owner @{PROC}                                           r,
     15  owner @{PROC}/[0-9]*/                                   r,
     16  owner @{PROC}/[0-9]*/status                             r,
     17  /dev/random                                             r,
     18  /dev/urandom                                            r,
     19  /sys/devices/system/cpu/                                r,
     20  /sys/devices/system/cpu/**                              r,
    2221
    23 /etc/ssl/certs/java/**                                  r,
    24 /etc/timezone                                           r,
    25 /usr/share/javazi/**                                    r,
     22  /etc/ssl/certs/java/**                                  r,
     23  /etc/timezone                                           r,
     24  /usr/share/javazi/**                                    r,
    2625
    27 /etc/java-*-openjdk/**                                  r,
    28 /usr/lib/jvm/default-java/jre/bin/java                  rix,
    29 /usr/lib/jvm/java-*-openjdk-*/jre/bin/java              rix,
    30 /usr/lib/jvm/java-*-openjdk-*/jre/lib/i386/client/classes.jsa m,
    31 /usr/lib/jvm/java-*-openjdk-*/jre/bin/keytool           rix,
     26  /etc/java-*-openjdk/**                                  r,
     27  /usr/lib/jvm/default-java/jre/bin/java                  rix,
     28  /usr/lib/jvm/java-*-openjdk-*/jre/bin/java              rix,
     29  /usr/lib/jvm/java-*-openjdk-*/jre/bin/keytool           rix,
    3230
    33 # Oracle Java is needed on the Raspberry Pi and is included in Raspbian's repositories
    34 /usr/lib/jvm/jdk-*-oracle-*/jre/bin/java                rix,
    35 /usr/lib/jvm/jdk-*-oracle-*/jre/bin/keytool             rix,
     31  # Oracle Java is needed on the Raspberry Pi and is included in Raspbian's repositories
     32  /usr/lib/jvm/jdk-*-oracle-*/jre/bin/java                rix,
     33  /usr/lib/jvm/jdk-*-oracle-*/jre/bin/keytool             rix,
    3634
    37 # needed for I2P's graphs
    38 /etc/fonts/**                                            r,
    39 /usr/share/java/java-atk-wrapper.jar                     r,
     35  # */client/classes.jsa is only found (and needed) in 32-bit JVMs.
     36  /usr/lib/jvm/java-*-openjdk-*/jre/lib/i386/client/classes.jsa m,
     37  /usr/lib/jvm/java-*-oracle-*/jre/lib/i386/client/classes.jsa m,
    4038
    41 # I2P specific
    42 /etc/default/i2p                                        r,
    43 /usr/share/i2p/**                                       r,
    44 # Used by some plugins
    45 /usr/share/java/eclipse-ecj-*.jar                       r,
     39  # needed for I2P's graphs
     40  /usr/share/java/java-atk-wrapper.jar                    r,
    4641
    47 # Tanuki java wrapper
    48 /etc/i2p/wrapper.config                                 r,
    49 /usr/sbin/wrapper                                       rix,
    50 /usr/share/java/wrapper*.jar                            r,
     42  # I2P specific
     43  /usr/share/i2p/**                                       r,
    5144
    52 /{,var/}tmp/                                            rwm,
    53 owner /{,var/}tmp/**                                    rwklm,
     45  # Used by some plugins
     46  /usr/share/java/eclipse-ecj-*.jar                       r,
    5447
    55 # Prevent spamming the logs
    56 deny /dev/tty                                           rw,
    57 deny @{PROC}/[0-9]*/fd/                                 r,
    58 deny /usr/sbin/                                         r,
    59 deny /var/cache/fontconfig/                             wk,
     48  # Tanuki java wrapper
     49  /etc/i2p/wrapper.config                                 r,
     50  /usr/sbin/wrapper                                       rix,
     51  /usr/share/java/wrapper*.jar                            r,
    6052
    61 # Used by some versions of the Tanuki wrapper, not needed by I2P
    62 deny /usr/share/java/hamcrest*.jar                      r,
    63 deny /usr/share/java/junit*.jar                         r,
     53  # 'm' is needed by the I2P-Bote plugin
     54  /{,var/}tmp/                                            rwm,
     55  owner /{,var/}tmp/**                                    rwklm,
     56
     57  # Prevent spamming the logs
     58  deny /dev/tty                                           rw,
     59  deny @{PROC}/[0-9]*/fd/                                 r,
     60  deny /usr/sbin/                                         r,
     61  deny /var/cache/fontconfig/                             wk,
     62
     63  # Used by some versions of the Tanuki wrapper, not needed by I2P
     64  deny /usr/share/java/hamcrest*.jar                      r,
     65  deny /usr/share/java/junit*.jar                         r,
  • debian/apparmor/usr.bin.i2prouter

    rdd99978 r11c3230  
    1 # Last Modified: Thu Jan 29 03:17:01 2015
     1# Last Modified: Sun Apr 12 22:08:32 2015
    22# vim:syntax=apparmor et ts=8 sw=4
    33
     
    1010  /usr/bin/i2prouter                    r,
    1111
    12   @{PROC}/[0-9]*/stat                   r,
    13   @{PROC}/[0-9]*/cmdline                r,
     12  @{PROC}/1/comm                        r,
     13  owner @{PROC}/[0-9]*/                 r,
     14  owner @{PROC}/[0-9]*/stat             r,
     15  owner @{PROC}/[0-9]*/cmdline          r,
    1416  @{PROC}/uptime                        r,
    1517  @{PROC}/sys/kernel/pid_max            r,
Note: See TracChangeset for help on using the changeset viewer.