<div dir="ltr">Hi Team,<div><br></div><div>Apparmor doesn't work with openbmc stack, I tried it around 6 months back, opened up the issue and finally it was told by the apparmor that it is not trivial one.</div><div><br></div><div><a href="https://gitlab.com/apparmor/apparmor/-/issues/183">https://gitlab.com/apparmor/apparmor/-/issues/183</a><br></div><div><br></div><div>Ratan</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 14, 2022 at 3:00 AM Joseph Reynolds <<a href="mailto:jrey@linux.ibm.com">jrey@linux.ibm.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 4/12/22 11:28 AM, Joseph Reynolds wrote:<br>
> This is a reminder of the OpenBMC Security Working Group meeting <br>
> scheduled for this Wednesday April 13 at 10:00am PDT.<br>
><br>
> We'll discuss the following items on the agenda <br>
> <<a href="https://docs.google.com/document/d/1b7x9BaxsfcukQDqbvZsU2ehMq4xoJRQvLxxsDUWmAOI" rel="noreferrer" target="_blank">https://docs.google.com/document/d/1b7x9BaxsfcukQDqbvZsU2ehMq4xoJRQvLxxsDUWmAOI</a>>, <br>
> and anything else that comes up:<br>
><br>
<br>
Attended: Joseph Reynolds, Ruud Haring, Chris Engel, Dick (Phoenix), <br>
Dong Chen, Jesse Arroyo, Yakatawa Sugawara, Russel Wilson, Krishnan <br>
Sugvanam, Manojkiran Eda, McCawley, Robert Senger, Sandhya Keteshwara, <br>
Surya (Intel), James Mihm, Terry Duncan, (and unknown caller who joined <br>
as the meeting was ending).<br>
<br>
<br>
> 1. Renewed interest in securing D-Bus interfaces and using SELinux.<br>
<br>
Ruud Haring and Yataka Sugawara and Russel Wilson from IBM Research <br>
presented a proposal.<br>
<br>
<br>
A recording was made of the presentation and discussion.  TODO: Post the <br>
recording.<br>
<br>
<br>
DISCUSSION:<br>
<br>
The proposal PDF will be shared with the OpenBMC community.  Here is my <br>
summary of the main points: SELinux is preferred by IBM and some large <br>
customers to solve several related access control problems: limiting <br>
access of root processes, application trust, systemd, and D-Bus.  See <br>
previous discussion 2020-05-13 below: SELinux email use cases and email <br>
<a href="https://lists.ozlabs.org/pipermail/openbmc/2020-April/021477.html" rel="noreferrer" target="_blank">https://lists.ozlabs.org/pipermail/openbmc/2020-April/021477.html</a> <br>
<<a href="https://lists.ozlabs.org/pipermail/openbmc/2020-April/021477.html" rel="noreferrer" target="_blank">https://lists.ozlabs.org/pipermail/openbmc/2020-April/021477.html</a>><br>
<br>
<br>
Next steps: Follow <br>
<a href="https://github.com/openbmc/docs/blob/master/CONTRIBUTING.md#planning-changes" rel="noreferrer" target="_blank">https://github.com/openbmc/docs/blob/master/CONTRIBUTING.md#planning-changes</a> <br>
<<a href="https://github.com/openbmc/docs/blob/master/CONTRIBUTING.md#planning-changes" rel="noreferrer" target="_blank">https://github.com/openbmc/docs/blob/master/CONTRIBUTING.md#planning-changes</a>>with <br>
email discussion, Discord (per <br>
<a href="https://github.com/openbmc/openbmc#contact" rel="noreferrer" target="_blank">https://github.com/openbmc/openbmc#contact</a> <br>
<<a href="https://github.com/openbmc/openbmc#contact" rel="noreferrer" target="_blank">https://github.com/openbmc/openbmc#contact</a>>) and creating a design for <br>
phase 1 (below).<br>
<br>
<br>
TODO: Joseph to send email to begin the discussion about SELinux use <br>
cases which might be shared by multiple OpenBMC users.<br>
<br>
<br>
IBM plans to work in the OpenBMC community project: stage 1 is an opt-in <br>
SELinux in permissive mode to collect data about which policies are <br>
needed.  Later stages are to create SELinux policies for access control, <br>
and then to change configure SELinux to enforce them.<br>
<br>
<br>
Does OpenBMC have existing SELinux policies?  None are known, but see <br>
the Yocto/OE meta-selinux layer and associated docs.<br>
<br>
<br>
We discussed some difficulties in using SELinux: Configuring the <br>
meta-selinux layer, configuring the Linux Kernel, and additional space <br>
requirements (about 20MB)<br>
<br>
<br>
We discussed SELinux vs AppArmor.  IBM has chosen SELinux because it is <br>
well known to IBM and customers, and has an active community.  Note the <br>
planned SELinux support is opt-in, so another contributor can add <br>
AppArmor as needed.<br>
<br>
<br>
The intended reference platform is an x86 system running with the <br>
AST2600 and  256Mb (or more) flash storage..<br>
<br>
<br>
We discussed SELinux & D-Bus tie-ins.  (OpenBMC D-Bus runs in system <br>
mode.)  Note that D-Bus has built-in support for SELinux.<br>
<br>
<br>
<br>
> Access, agenda and notes are in the wiki:<br>
> <a href="https://github.com/openbmc/openbmc/wiki/Security-working-group" rel="noreferrer" target="_blank">https://github.com/openbmc/openbmc/wiki/Security-working-group</a> <br>
> <<a href="https://github.com/openbmc/openbmc/wiki/Security-working-group" rel="noreferrer" target="_blank">https://github.com/openbmc/openbmc/wiki/Security-working-group</a>><br>
><br>
> - Joseph<br>
><br>
<br>
</blockquote></div>