<div dir="ltr"><div>Hi, Brad.</div><div><br></div>AppArmor is upstreamed. I just enabled apparmor config for aspeed kernel.<div><br></div><div>Furthermore, Ubuntu's kernel has additional not upstreamed patches for AppArmor. E.g. patch from:</div><div><a href="https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/linux/5.4.0-26.30/linux_5.4.0-26.30.diff.gz" target="_blank">https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/linux/5.4.0-26.30/linux_5.4.0-26.30.diff.gz</a><br></div><div><br></div><div>is adding new routines like:</div><div> -- apparmor_unix_stream_connect to check perms before making unix domain connection</div><div> -- apparmor_unix_may_send to check perms before conn or sending unix dgrams</div><div><br></div><div>and various new hooks for LSM.</div><div><br></div><div>Without those patches we wouldn't have all the benefits for DBus hardening. Plus, the dbus-broker doesn't support all that stuff and needs to have features to be ported from Freedesktop/DBus.</div><div><br></div><div>I'm also looking into 3rd LSM alternative: KRSI</div><div><br></div><div><a href="https://lkml.org/lkml/2019/12/20/641">https://lkml.org/lkml/2019/12/20/641</a><br></div><div><br></div><div>Nevertheless which LSM we're going to use at the end, we can define rules in phosphor-dbus-interfaces:</div><div><br></div><div><a href="https://github.com/openbmc/phosphor-dbus-interfaces/blob/master/xyz/openbmc_project/Control/Host.interface.yaml">https://github.com/openbmc/phosphor-dbus-interfaces/blob/master/xyz/openbmc_project/Control/Host.interface.yaml</a><br></div><div><br></div><div>to white list daemons / processes that might talk to specific methods or query specific properties and so on.</div><div><br></div><div>Those definitions will be used to generate appropriate rules for underlying LSM (besides general system-wide rules) at build time.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 22 Apr 2020 at 14:33, Brad Bishop <<a href="mailto:bradleyb@fuzziesquirrel.com" target="_blank">bradleyb@fuzziesquirrel.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">at 5:57 AM, Anton Kachalov <<a href="mailto:rnouse@google.com" target="_blank">rnouse@google.com</a>> wrote:<br>
<br>
> Once such dependencies were dropped, I got a working AppArmor-enabled  <br>
> system with only a 2MB increase.<br>
<br>
Hi Anton!<br>
<br>
General question about AppArmor - would it require kernel patches to deploy  <br>
it in OpenBMC?<br>
<br>
thx - brad<br>
</blockquote></div>