
<div dir="ltr">Hi Team,<div><br></div><div>Apparmor doesn't work with openbmc stack, I tried it around 6 months back, opened up the issue and finally it was told by the apparmor that it is not trivial one.</div><div><br></div><div><a href="https://gitlab.com/apparmor/apparmor/-/issues/183">https://gitlab.com/apparmor/apparmor/-/issues/183</a><br></div><div><br></div><div>Ratan</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 14, 2022 at 3:00 AM Joseph Reynolds <<a href="mailto:jrey@linux.ibm.com">jrey@linux.ibm.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 4/12/22 11:28 AM, Joseph Reynolds wrote:<br>

> This is a reminder of the OpenBMC Security Working Group meeting <br>

> scheduled for this Wednesday April 13 at 10:00am PDT.<br>

><br>

> We'll discuss the following items on the agenda <br>

> <<a href="https://docs.google.com/document/d/1b7x9BaxsfcukQDqbvZsU2ehMq4xoJRQvLxxsDUWmAOI" rel="noreferrer" target="_blank">https://docs.google.com/document/d/1b7x9BaxsfcukQDqbvZsU2ehMq4xoJRQvLxxsDUWmAOI</a>>, <br>

> and anything else that comes up:<br>

><br>

<br>

Attended: Joseph Reynolds, Ruud Haring, Chris Engel, Dick (Phoenix), <br>

Dong Chen, Jesse Arroyo, Yakatawa Sugawara, Russel Wilson, Krishnan <br>

Sugvanam, Manojkiran Eda, McCawley, Robert Senger, Sandhya Keteshwara, <br>

Surya (Intel), James Mihm, Terry Duncan, (and unknown caller who joined <br>

as the meeting was ending).<br>

<br>

<br>

> 1. Renewed interest in securing D-Bus interfaces and using SELinux.<br>

<br>

Ruud Haring and Yataka Sugawara and Russel Wilson from IBM Research <br>

presented a proposal.<br>

<br>

<br>

A recording was made of the presentation and discussion.  TODO: Post the <br>

recording.<br>

<br>

<br>

DISCUSSION:<br>

<br>

The proposal PDF will be shared with the OpenBMC community.  Here is my <br>

summary of the main points: SELinux is preferred by IBM and some large <br>

customers to solve several related access control problems: limiting <br>

access of root processes, application trust, systemd, and D-Bus.  See <br>

previous discussion 2020-05-13 below: SELinux email use cases and email <br>

<a href="https://lists.ozlabs.org/pipermail/openbmc/2020-April/021477.html" rel="noreferrer" target="_blank">https://lists.ozlabs.org/pipermail/openbmc/2020-April/021477.html</a> <br>

<<a href="https://lists.ozlabs.org/pipermail/openbmc/2020-April/021477.html" rel="noreferrer" target="_blank">https://lists.ozlabs.org/pipermail/openbmc/2020-April/021477.html</a>><br>

<br>

<br>

Next steps: Follow <br>

<a href="https://github.com/openbmc/docs/blob/master/CONTRIBUTING.md#planning-changes" rel="noreferrer" target="_blank">https://github.com/openbmc/docs/blob/master/CONTRIBUTING.md#planning-changes</a> <br>

<<a href="https://github.com/openbmc/docs/blob/master/CONTRIBUTING.md#planning-changes" rel="noreferrer" target="_blank">https://github.com/openbmc/docs/blob/master/CONTRIBUTING.md#planning-changes</a>>with <br>

email discussion, Discord (per <br>

<a href="https://github.com/openbmc/openbmc#contact" rel="noreferrer" target="_blank">https://github.com/openbmc/openbmc#contact</a> <br>

<<a href="https://github.com/openbmc/openbmc#contact" rel="noreferrer" target="_blank">https://github.com/openbmc/openbmc#contact</a>>) and creating a design for <br>

phase 1 (below).<br>

<br>

<br>

TODO: Joseph to send email to begin the discussion about SELinux use <br>

cases which might be shared by multiple OpenBMC users.<br>

<br>

<br>

IBM plans to work in the OpenBMC community project: stage 1 is an opt-in <br>

SELinux in permissive mode to collect data about which policies are <br>

needed.  Later stages are to create SELinux policies for access control, <br>

and then to change configure SELinux to enforce them.<br>

<br>

<br>

Does OpenBMC have existing SELinux policies?  None are known, but see <br>

the Yocto/OE meta-selinux layer and associated docs.<br>

<br>

<br>

We discussed some difficulties in using SELinux: Configuring the <br>

meta-selinux layer, configuring the Linux Kernel, and additional space <br>

requirements (about 20MB)<br>

<br>

<br>

We discussed SELinux vs AppArmor.  IBM has chosen SELinux because it is <br>

well known to IBM and customers, and has an active community.  Note the <br>

planned SELinux support is opt-in, so another contributor can add <br>

AppArmor as needed.<br>

<br>

<br>

The intended reference platform is an x86 system running with the <br>

AST2600 and  256Mb (or more) flash storage..<br>

<br>

<br>

We discussed SELinux & D-Bus tie-ins.  (OpenBMC D-Bus runs in system <br>

mode.)  Note that D-Bus has built-in support for SELinux.<br>

<br>

<br>

<br>

> Access, agenda and notes are in the wiki:<br>

> <a href="https://github.com/openbmc/openbmc/wiki/Security-working-group" rel="noreferrer" target="_blank">https://github.com/openbmc/openbmc/wiki/Security-working-group</a> <br>

> <<a href="https://github.com/openbmc/openbmc/wiki/Security-working-group" rel="noreferrer" target="_blank">https://github.com/openbmc/openbmc/wiki/Security-working-group</a>><br>

><br>

> - Joseph<br>

><br>

<br>

</blockquote></div>