Apparmor bug : profile for /etc/apparmor.d/abstractions not found, skipping

Support Debian
#1

Bonjour,

Je n’arrive pas à mettre les profils apparmor en mode aa-enforce:

sudo aa-enforce /etc/apparmor.d/*
Profile for /etc/apparmor.d/abstractions not found, skipping
Traceback (most recent call last):
  File "/usr/sbin/aa-enforce", line 30, in <module>
    tool.cmd_enforce()
  File "/usr/lib/python3/dist-packages/apparmor/tools.py", line 153, in cmd_enforce
    apparmor.read_profiles()
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2572, in read_profiles
    read_profile(profile_dir + '/' + file, True)
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2598, in read_profile
    profile_data = parse_profile_data(data, file, 0)
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2853, in parse_profile_data
    store_list_var(filelist[file]['lvar'], list_var, value, var_operation, file)
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 3289, in store_list_var
    raise AppArmorException(_('Redefining existing variable %(variable)s: %(value)s in %(file)s') % { 'variable': list_var, 'value': value, 'file': filename })
apparmor.common.AppArmorException: 'Redefining existing variable @{APT_CACHE_DIR}: /var/cache/apt-cacher-ng in /etc/apparmor.d/usr.sbin.apt-cacher-ng

Merci.

#2

Salut
Il faut donner le nom du profile et comme généralement le nom commence par usr

aa-enforce /etc/apparmor.d/usr*

Exemple

etc/apparmor.d# aa-enforce /etc/apparmor.d/usr*
Setting /etc/apparmor.d/usr.bin.evince to enforce mode.
Setting /etc/apparmor.d/usr.bin.firefox to enforce mode.
Setting /etc/apparmor.d/usr.bin.webbrowser-app to enforce mode.
Setting /etc/apparmor.d/usr.lib.snapd.snap-confine to enforce mode.
Setting /etc/apparmor.d/usr.sbin.cups-browsed to enforce mode.
Setting /etc/apparmor.d/usr.sbin.cupsd to enforce mode.
Setting /etc/apparmor.d/usr.sbin.ippusbxd to enforce mode.
Setting /etc/apparmor.d/usr.sbin.rsyslogd to enforce mode.
Setting /etc/apparmor.d/usr.sbin.tcpdump to enforce mode.

https://debian-handbook.info/browse/fr-FR/stable/sect.apparmor.html

#3

Bonsoir,

Quand je fais:

aa-enforce /etc/apparmor.d/usr*

J’obtiens ceci:

Setting /etc/apparmor.d/usr.bin.chromium-browser to enforce mode.
Traceback (most recent call last):
  File "/usr/sbin/aa-enforce", line 30, in <module>
    tool.cmd_enforce()
  File "/usr/lib/python3/dist-packages/apparmor/tools.py", line 153, in cmd_enforce
    apparmor.read_profiles()
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2572, in read_profiles
    read_profile(profile_dir + '/' + file, True)
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2598, in read_profile
    profile_data = parse_profile_data(data, file, 0)
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2853, in parse_profile_data
    store_list_var(filelist[file]['lvar'], list_var, value, var_operation, file)
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 3289, in store_list_var
    raise AppArmorException(_('Redefining existing variable %(variable)s: %(value)s in %(file)s') % { 'variable': list_var, 'value': value, 'file': filename })
apparmor.common.AppArmorException: 'Redefining existing variable @{APT_CACHE_DIR}: /var/cache/apt-cacher-ng in /etc/apparmor.d/usr.sbin.apt-cacher-ng'

Merci.

#4

il faut avoir les droits root pour gérer apparmor

Exemple pour vérifier l’état

sudo aa-status

as tu fait

sudo aa-enforce /etc/apparmor.d/usr*
#5

Il me souvient qu’il faut faire une rustine pour que le noyau démarre apparmor

Dans /etc/default/grub

GRUB_CMDLINE_LINUX_DEFAULT=“quiet apparmor=1 security=apparmor”

puis

sudo update-grub

Et redemarrer

Pour vérifier que c’est bien démarré

systemctl status apparmor
● apparmor.service - AppArmor initialization
   Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset:
   Active: active (exited) since mer. 2016-09-28 17:03:24 CEST; 2h 19min ago
     Docs: man:apparmor(7)
           http://wiki.apparmor.net/
 Main PID: 2445 (code=exited, status=0/SUCCESS)
    Tasks: 0 (limit: 4915)
   CGroup: /system.slice/apparmor.service

sept. 28 17:03:22 debian systemd[1]: Starting AppArmor initialization...
sept. 28 17:03:24 debian apparmor[2445]: Starting AppArmor profiles:.
sept. 28 17:03:24 debian systemd[1]: Started AppArmor initialization.
#6

Bonjour,

Dans Grub, j’avais déjà noté ceci:
GRUB_CMDLINE_LINUX=apparmor="1 security=apparmor"

J’ai alors rajouté ce que tu m’as dit:
GRUB_CMDLINE_LINUX_DEFAULT="quiet apparmor=1 security=apparmor"

systemctl status apparmor
● apparmor.service - LSB: AppArmor initialization
Loaded: loaded (/etc/init.d/apparmor)
Active: active (exited) since jeu 2016-09-29 12:42:00 CEST; 1min 17s ago
Process: 217 ExecStart=/etc/init.d/apparmor start (code=exited, status=0/SUCCESS)

sudo aa-status
apparmor module is loaded.
61 profiles are loaded.
30 profiles are in enforce mode.
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince-thumbnailer//sanitized_helper
   /usr/bin/evince//sanitized_helper
   /usr/bin/freshclam
   /usr/bin/irssi
   /usr/bin/pidgin
   /usr/bin/pidgin//launchpad_integration
   /usr/bin/pidgin//sanitized_helper
   /usr/bin/totem
   /usr/bin/totem-audio-preview
   /usr/bin/totem-video-thumbnailer
   /usr/lib/chromium-browser/chromium-browser
   /usr/lib/chromium-browser/chromium-browser//browser_java
   /usr/lib/chromium-browser/chromium-browser//browser_openjdk
   /usr/lib/chromium-browser/chromium-browser//chromium_browser_sandbox
   /usr/lib/chromium-browser/chromium-browser//lsb_release
   /usr/lib/chromium-browser/chromium-browser//sanitized_helper
   /usr/lib/chromium-browser/chromium-browser//xdgsettings
   /usr/lib/cups/backend/cups-pdf
   /usr/sbin/apt-cacher-ng
   /usr/sbin/clamd
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/ntpd
   /usr/sbin/tcpdump
   gst_plugin_scanner
31 profiles are in complain mode.
   /sbin/klogd
   /sbin/syslog-ng
   /sbin/syslogd
   /usr/lib/dovecot/anvil
   /usr/lib/dovecot/auth
   /usr/lib/dovecot/config
   /usr/lib/dovecot/deliver
   /usr/lib/dovecot/dict
   /usr/lib/dovecot/dovecot-auth
   /usr/lib/dovecot/dovecot-lda
   /usr/lib/dovecot/imap
   /usr/lib/dovecot/imap-login
   /usr/lib/dovecot/lmtp
   /usr/lib/dovecot/log
   /usr/lib/dovecot/managesieve
   /usr/lib/dovecot/managesieve-login
   /usr/lib/dovecot/pop3
   /usr/lib/dovecot/pop3-login
   /usr/lib/dovecot/ssl-params
   /usr/sbin/avahi-daemon
   /usr/sbin/dnsmasq
   /usr/sbin/dovecot
   /usr/sbin/identd
   /usr/sbin/mdnsd
   /usr/sbin/nmbd
   /usr/sbin/nscd
   /usr/sbin/smbd
   /usr/sbin/smbldap-useradd
   /usr/sbin/smbldap-useradd///etc/init.d/nscd
   /usr/{sbin/traceroute,bin/traceroute.db}
   /{usr/,}bin/ping
6 processes have profiles defined.
4 processes are in enforce mode.
   /usr/bin/freshclam (498) 
   /usr/sbin/clamd (535) 
   /usr/sbin/cups-browsed (532) 
   /usr/sbin/cupsd (531) 
2 processes are in complain mode.
   /usr/sbin/avahi-daemon (512) 
   /usr/sbin/avahi-daemon (520) 
0 processes are unconfined but have a profile defined.


sudo aa-enforce /etc/apparmor.d/usr*
Setting /etc/apparmor.d/usr.bin.chromium-browser to enforce mode.
Traceback (most recent call last):
  File "/usr/sbin/aa-enforce", line 30, in <module>
    tool.cmd_enforce()
  File "/usr/lib/python3/dist-packages/apparmor/tools.py", line 153, in cmd_enforce
    apparmor.read_profiles()
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2572, in read_profiles
    read_profile(profile_dir + '/' + file, True)
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2598, in read_profile
    profile_data = parse_profile_data(data, file, 0)
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 2853, in parse_profile_data
    store_list_var(filelist[file]['lvar'], list_var, value, var_operation, file)
  File "/usr/lib/python3/dist-packages/apparmor/aa.py", line 3289, in store_list_var
    raise AppArmorException(_('Redefining existing variable %(variable)s: %(value)s in %(file)s') % { 'variable': list_var, 'value': value, 'file': filename })
apparmor.common.AppArmorException: 'Redefining existing variable @{APT_CACHE_DIR}: /var/cache/apt-cacher-ng in /etc/apparmor.d/usr.sbin.apt-cacher-ng

Ps: la commande “sudo” ne fonctionne jamais. Après avoir tapé mon mon de passe, elle me retourne toujours qu’il est erroné. Je dois faire au préalable su pour que celle-ci fonctionne.

Merci.

#7

GRUB_CMDLINE_LINUX c’est pour le démarrage en recovery
GRUB_CMDLINE_LINUX=apparmor="1 security=apparmor"
je pense que la syntaxe n’est pas bonne

je mettrais

GRUB_CMDLINE_LINUX=“apparmor=1 security=apparmor”

Quel est ton system d’init?
Si par la commande

pstree

tu vois

@debian:~$ pstree
systemd─┬─ModemManager─┬─{gdbus}

c’est que tu es en systemd

mais j’ai pas l’impression que tu y sois

Process: 217 ExecStart=/etc/init.d/apparmor start

Sinon pour sudo, il faut que le paquet sudo soit installé et que ton utilisateur soit bien dans le group sudo

grep sudo /etc/group

#8

J’ai changé la syntaxe et refait sudo reboot mais malheureusement sans aucun changement.

Je pense que je suis en systemd:

systemd─┬─ModemManager─┬─{gdbus}
        │              └─{gmain}
        ├─NetworkManager─┬─{NetworkManager}
        │                ├─{gdbus}
        │                └─{gmain}
        ├─acpid
        ├─agetty
        ├─applet.py───{gmain}
        ├─2*[at-spi-bus-laun─┬─dbus-daemon]
        │                    ├─{dconf worker}]
        │                    ├─{gdbus}]
        │                    └─{gmain}]
        ├─2*[at-spi2-registr───{gdbus}]
        ├─atd
        ├─avahi-daemon───avahi-daemon
        ├─clamd───2*[{clamd}]
        ├─clamscan─┬─clamscan
        │          ├─inotifywait
        │          └─sed
        ├─cron───cron───sh───clamav-unoffici───dig───3*[{dig}]
        ├─cups-browsed
        ├─cupsd
        ├─3*[dbus-daemon]
        ├─2*[dbus-launch]
        ├─exim4
        ├─freshclam
        ├─gconfd-2
        ├─gpg-agent
        ├─gvfs-udisks2-vo─┬─{gdbus}
        │                 └─{gmain}
        ├─gvfsd───{gdbus}
        ├─gvfsd-trash─┬─{gdbus}
        │             ├─{gmain}
        │             └─{pool}
        ├─lightdm─┬─Xorg───2*[{Xorg}]
        │         ├─lightdm─┬─sh─┬─ssh-agent
        │         │         │    └─xfce4-session─┬─Thunar
        │         │         │                    ├─xfce4-panel─┬─panel-2-action+
        │         │         │                    │             ├─panel-6-systra+
        │         │         │                    │             ├─{gdbus}
        │         │         │                    │             └─{gmain}
        │         │         │                    ├─xfdesktop─┬─{gdbus}
        │         │         │                    │           └─{gmain}
        │         │         │                    ├─xfwm4
        │         │         │                    ├─{gdbus}
        │         │         │                    └─{gmain}
        │         │         ├─{gdbus}
        │         │         └─{gmain}
        │         ├─{gdbus}
        │         └─{gmain}
        ├─nm-applet─┬─{dconf worker}
        │           └─{gdbus}
        ├─polkit-gnome-au───{gdbus}
        ├─polkitd─┬─{gdbus}
        │         └─{gmain}
        ├─pulseaudio─┬─{alsa-sink-ALC27}
        │            ├─{alsa-sink-HDMI }
        │            └─{alsa-source-ALC}
        ├─rpc.idmapd
        ├─rpc.statd
        ├─rpcbind
        ├─rsyslogd─┬─{in:imklog}
        │          ├─{in:imuxsock}
        │          └─{rs:main Q:Reg}
        ├─rtkit-daemon───2*[{rtkit-daemon}]
        ├─start-pulseaudi───xprop
        ├─2*[systemd───(sd-pam)]
        ├─systemd-journal
        ├─systemd-logind
        ├─systemd-udevd
        ├─tumblerd─┬─{gdbus}
        │          ├─{gmain}
        │          └─2*[{pool}]
        ├─udisksd─┬─{cleanup}
        │         ├─{gdbus}
        │         ├─{gmain}
        │         └─{probing-thread}
        ├─upowerd─┬─{gdbus}
        │         └─{gmain}
        ├─wpa_supplicant
        ├─xfce4-notifyd
        ├─xfce4-power-man───{gdbus}
        ├─xfce4-power-man
        ├─xfce4-terminal─┬─bash───su───bash
        │                ├─bash───pstree
        │                ├─gnome-pty-helpe
        │                ├─{gdbus}
        │                └─{gmain}
        ├─xfce4-volumed─┬─{gdbus}
        │               ├─{task0}
        │               └─{task1}
        ├─xfconfd
        ├─xfsettingsd─┬─{gdbus}
        │             └─{gmain}
        └─xscreensaver
#9

ce qui est interessant

debian:~$ systemctl status apparmor
● apparmor.service - AppArmor initialization
   Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset:
   Active: active (exited) since jeu. 2016-09-29 17:07:36 CEST; 1h 22min ago
     Docs: man:apparmor(7)
           http://wiki.apparmor.net/
 Main PID: 2483 (code=exited, status=0/SUCCESS)
    Tasks: 0 (limit: 4915)
   CGroup: /system.slice/apparmor.service

sept. 29 17:07:34 debian systemd[1]: Starting AppArmor initialization...
sept. 29 17:07:36 debian apparmor[2483]: Starting AppArmor profiles:.
sept. 29 17:07:36 debian systemd[1]: Started AppArmor initialization.

on voit Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; qui prouve que systemd gere apparmor

#10

Bonjour,

Que dois-je faire alors?

#11

deja verifier l’état

cat /sys/module/apparmor/parameters/enabled

si tout est ok il doit y avoir Y dedans

root@debian:/# cat /sys/module/apparmor/parameters/enabled 
Y
root@debian:/#

il y a un bug dans lequel je suis tombé, il existe peut etre toujours

passer la commande pour activer, sous root

systemctl enable apparmor

pour voir l’état des profiles apparmor

root@debian:/# aa-status

Exemple

root@debian:/# aa-status
apparmor module is loaded.
64 profiles are loaded.
27 profiles are in enforce mode.
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince-thumbnailer//sanitized_helper
   /usr/bin/evince//sanitized_helper
   /usr/bin/irssi
   /usr/bin/pidgin
   /usr/bin/pidgin//launchpad_integration
   /usr/bin/pidgin//sanitized_helper
   /usr/bin/totem
   /usr/bin/totem-audio-preview
   /usr/bin/totem-video-thumbnailer
   /usr/lib/chromium-browser/chromium-browser//browser_java
   /usr/lib/chromium-browser/chromium-browser//browser_openjdk
   /usr/lib/chromium-browser/chromium-browser//sanitized_helper
   /usr/lib/cups/backend/cups-pdf
   /usr/sbin/apt-cacher-ng
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/tcpdump
   gst_plugin_scanner
   icedove
   icedove//gpg
   icedove//gpg2
   icedove//sanitized_helper
37 profiles are in complain mode.
   /usr/lib/chromium-browser/chromium-browser
   /usr/lib/chromium-browser/chromium-browser//chromium_browser_sandbox
   /usr/lib/chromium-browser/chromium-browser//lsb_release
   /usr/lib/chromium-browser/chromium-browser//xdgsettings
   /usr/lib/dovecot/anvil
   /usr/lib/dovecot/auth
   /usr/lib/dovecot/config
   /usr/lib/dovecot/deliver
   /usr/lib/dovecot/dict
   /usr/lib/dovecot/dovecot-auth
   /usr/lib/dovecot/dovecot-lda
   /usr/lib/dovecot/dovecot-lda///usr/sbin/sendmail
   /usr/lib/dovecot/imap
   /usr/lib/dovecot/imap-login
   /usr/lib/dovecot/lmtp
   /usr/lib/dovecot/log
   /usr/lib/dovecot/managesieve
   /usr/lib/dovecot/managesieve-login
   /usr/lib/dovecot/pop3
   /usr/lib/dovecot/pop3-login
   /usr/lib/dovecot/ssl-params
   /usr/sbin/avahi-daemon
   /usr/sbin/dnsmasq
   /usr/sbin/dnsmasq//libvirt_leaseshelper
   /usr/sbin/dovecot
   /usr/sbin/identd
   /usr/sbin/mdnsd
   /usr/sbin/nmbd
   /usr/sbin/nscd
   /usr/sbin/smbd
   /usr/sbin/smbldap-useradd
   /usr/sbin/smbldap-useradd///etc/init.d/nscd
   /usr/{sbin/traceroute,bin/traceroute.db}
   /{usr/,}bin/ping
   klogd
   syslog-ng
   syslogd
4 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/cups-browsed (1962) 
   /usr/sbin/cupsd (1922) 
2 processes are in complain mode.
   /usr/sbin/avahi-daemon (1914) 
   /usr/sbin/avahi-daemon (1940) 
0 processes are unconfined but have a profile defined.
#12

Bonjour,

J’ai vérifié et je n’ai pas ce bug.
Mais toujours impossible de mettre en enforce.

Merci

#13

Vu tous tes autres messages par ailleurs, je pense que tu as un problème global.



Probablement une mauvaise installation

Verifier ces dossiers

root@debian:/etc/apparmor.d# ls -alrt
total 252
-rw-r--r--   1 root root   469 mars  24  2016 usr.sbin.cups-browsed
-rw-r--r--   1 root root  5119 mars  25  2016 usr.sbin.cupsd
drwxr-xr-x   2 root root  4096 mars  30  2016 force-complain
-rw-r--r--   1 root root   842 mars  30  2016 usr.sbin.traceroute
-rw-r--r--   1 root root  1413 mars  30  2016 usr.sbin.smbd
-rw-r--r--   1 root root   761 mars  30  2016 usr.sbin.nmbd
-rw-r--r--   1 root root   964 mars  30  2016 usr.sbin.mdnsd
-rw-r--r--   1 root root  1013 mars  30  2016 usr.sbin.identd
-rw-r--r--   1 root root  2012 mars  30  2016 usr.sbin.dovecot
-rw-r--r--   1 root root   790 mars  30  2016 usr.lib.dovecot.ssl-params
-rw-r--r--   1 root root   967 mars  30  2016 usr.lib.dovecot.pop3-login
-rw-r--r--   1 root root   900 mars  30  2016 usr.lib.dovecot.pop3
-rw-r--r--   1 root root  1109 mars  30  2016 usr.lib.dovecot.managesieve-login
-rw-r--r--   1 root root   953 mars  30  2016 usr.lib.dovecot.managesieve
-rw-r--r--   1 root root   680 mars  30  2016 usr.lib.dovecot.log
-rw-r--r--   1 root root  1006 mars  30  2016 usr.lib.dovecot.lmtp
-rw-r--r--   1 root root  1008 mars  30  2016 usr.lib.dovecot.imap-login
-rw-r--r--   1 root root  1056 mars  30  2016 usr.lib.dovecot.dovecot-auth
-rw-r--r--   1 root root   887 mars  30  2016 usr.lib.dovecot.dict
-rw-r--r--   1 root root  1153 mars  30  2016 usr.lib.dovecot.deliver
-rw-r--r--   1 root root   871 mars  30  2016 usr.lib.dovecot.config
-rw-r--r--   1 root root  1204 mars  30  2016 usr.lib.dovecot.auth
-rw-r--r--   1 root root   733 mars  30  2016 usr.lib.dovecot.anvil
-rw-r--r--   1 root root  8243 mars  30  2016 usr.bin.chromium-browser
-rw-r--r--   1 root root  1307 mars  30  2016 sbin.syslogd
-rw-r--r--   1 root root   999 mars  30  2016 sbin.klogd
-rw-r--r--   1 root root  5995 avril 26 21:43 usr.bin.evince
-rw-r--r--   1 root root  1454 avril 30 12:54 usr.sbin.tcpdump
-rw-r--r--   1 root root  2981 avril 30 12:54 usr.bin.pidgin
-rw-r--r--   1 root root  1308 avril 30 12:54 usr.bin.irssi
-rw-r--r--   1 root root   479 avril 30 12:54 gst_plugin_scanner
-rw-r--r--   1 root root   755 juin  25 09:46 usr.sbin.apt-cacher-ng
-rw-r--r--   1 root root   985 juin  25 09:46 usr.bin.totem-previewers
-rw-r--r--   1 root root   833 juin  25 09:46 usr.bin.totem
drwxr-xr-x   2 root root  4096 juil.  1 14:50 disable
-rw-r--r--   1 root root   920 juil.  1 16:12 usr.sbin.smbldap-useradd
-rw-r--r--   1 root root  1255 juil.  1 16:12 usr.sbin.nscd
-rw-r--r--   1 root root  3123 juil.  1 16:12 usr.sbin.dnsmasq
-rw-r--r--   1 root root   916 juil.  1 16:12 usr.sbin.avahi-daemon
-rw-r--r--   1 root root  1003 juil.  1 16:12 usr.lib.dovecot.imap
-rw-r--r--   1 root root  2619 juil.  1 16:12 usr.lib.dovecot.dovecot-lda
-rw-r--r--   1 root root  1929 juil.  1 16:12 sbin.syslog-ng
-rw-r--r--   1 root root   802 juil.  1 16:12 bin.ping
drwxr-xr-x   2 root root  4096 juil.  7 10:46 apache2.d
-rw-r--r--   1 root root  8165 août   1 23:42 usr.bin.icedove.guy
-rw-r--r--   1 root root  8222 août  24 07:50 usr.bin.icedove
drwxr-xr-x   2 root root  4096 sept. 30 09:12 local
drwxr-xr-x   5 root root  4096 sept. 30 09:12 tunables
drwxr-xr-x   4 root root 12288 sept. 30 20:46 abstractions
drwxr-xr-x   9 root root  4096 sept. 30 20:46 .
drwxr-xr-x   2 root root  4096 sept. 30 20:46 cache
drwxr-xr-x 148 root root 12288 oct.   3 13:28 ..
root@debian:/etc/apparmor.d# cd abstractions
root@debian:/etc/apparmor.d/abstractions# ls
apache2-common		   launchpad-integration     ubuntu-bittorrent-clients
apparmor_api		   ldapclient		     ubuntu-browsers
aspell			   lightdm		     ubuntu-browsers.d
audio			   lightdm_chromium-browser  ubuntu-console-browsers
authentication		   likewise		     ubuntu-console-email
base			   mdns			     ubuntu-email
bash			   mir			     ubuntu-feed-readers
consoles		   mysql		     ubuntu-gnome-terminal
cups-client		   nameservice		     ubuntu-helpers
dbus			   nis			     ubuntu-konsole
dbus-accessibility	   nvidia		     ubuntu-media-players
dbus-accessibility-strict  openssl		     ubuntu-unity7-base
dbus-session		   orbit2		     ubuntu-unity7-launcher
dbus-session-strict	   p11-kit		     ubuntu-unity7-messaging
dbus-strict		   perl			     ubuntu-xterm
dconf			   php5			     user-download
dovecot-common		   postfix-common	     user-mail
enchant			   private-files	     user-manpages
evince			   private-files-strict      user-tmp
fonts			   python		     user-write
freedesktop.org		   ruby			     video
gnome			   samba		     web-data
gnupg			   smbpass		     winbind
gstreamer		   ssl_certs		     wutmp
ibus			   ssl_keys		     X
kde			   svn-repositories	     xad
kerberosclient		   totem		     xdg-desktop
#14

le service apparmor est ici

cat /lib/systemd/system/apparmor.service
[Unit]
Description=AppArmor initialization
After=local-fs.target
Before=sysinit.target
AssertPathIsReadWrite=/sys/kernel/security/apparmor/.load
ConditionVirtualization=!container
ConditionSecurity=apparmor
DefaultDependencies=no
Documentation=man:apparmor(7)
Documentation=http://wiki.apparmor.net/

# Don't start this unit on the Ubuntu Live CD
ConditionPathExists=!/rofs/etc/apparmor.d

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/etc/init.d/apparmor start
ExecStop=/etc/init.d/apparmor stop
ExecReload=/etc/init.d/apparmor reload

[Install]
WantedBy=sysinit.target

tu peux essayer la séquence en ligne de commande

    root@debian:/# /etc/init.d/apparmor stop
    [ ok ] Stopping apparmor (via systemctl): apparmor.service.


root@debian:/# /etc/init.d/apparmor start
[ ok ] Starting apparmor (via systemctl): apparmor.service.


root@debian:/# systemctl status apparmor
● apparmor.service - AppArmor initialization
   Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset:
   Active: active (exited) since mar. 2016-10-04 14:44:02 CEST; 7s ago
     Docs: man:apparmor(7)
           http://wiki.apparmor.net/
  Process: 7054 ExecStop=/etc/init.d/apparmor stop (code=exited, status=0/SUCCES
  Process: 7101 ExecStart=/etc/init.d/apparmor start (code=exited, status=0/SUCC
 Main PID: 7101 (code=exited, status=0/SUCCESS)

oct. 04 14:43:52 debian systemd[1]: Starting AppArmor initialization...
oct. 04 14:44:02 debian apparmor[7101]: Starting AppArmor profiles:.
oct. 04 14:44:02 debian systemd[1]: Started AppArmor initialization.
#15

Bonsoir,

Voici les retours des commandes :

cat /lib/systemd/system/apparmor.service
cat: /lib/systemd/system/apparmor.service: Aucun fichier ou dossier de ce type
/etc/init.d/apparmor stop
bash: /#: Aucun fichier ou dossier de ce type
etc/init.d/apparmor stop
[ ok ] Stopping apparmor (via systemctl): apparmor.service.
 /etc/init.d/apparmor start
[ ok ] Starting apparmor (via systemctl): apparmor.service.
systemctl status apparmor
● apparmor.service - LSB: AppArmor initialization
   Loaded: loaded (/etc/init.d/apparmor)
   Active: active (exited) since lun 2016-10-10 19:18:20 CEST; 3s ago
  Process: 25607 ExecStop=/etc/init.d/apparmor stop (code=exited, status=0/SUCCESS)
  Process: 25644 ExecStart=/etc/init.d/apparmor start (code=exited, status=0/SUCCESS)

oct 10 19:18:20 pc apparmor[25644]: Starting AppArmor profiles:.
oct 10 19:18:20 pc systemd[1]: Started LSB: AppArmor initialization.

Merci

#16

je ne ne vois plus trop où tu en es maintenant
Tout ce que je sais est là
http://wiki.apparmor.net/index.php/Documentation

#17

Bonsoir,

J’ai tout recommencé depuis le début et je l’ai installé en suivant les recommandations de ce site.

https://wiki.debian.org/AppArmor/HowToUse

J’ai ensuite rajouté la rustine dans le fichier /etc/default/grub
GRUB_CMDLINE_LINUX_DEFAULT="quiet apparmor=1 security=apparmor"

Cette commande met tous les profiles en mode enforce ou complain.
cd /usr/share/doc/apparmor-profiles/extras
cp -i . /etc/apparmor.d/

for f in *.* ; do aa-complain /etc/apparmor.d/$f; done

Mais comment fait-on pour mettre 1 seul profile en mode complain ou enforce?

Merci.