Das GRUB-Prüfskript schlägt unter Ubuntu auch nach der Behebung immer fehl (AppArmor-Parameter werden nicht erkannt) ⇐ Linux

[Anonymous]

Ich versuche, eine CIS-Härtungsregel unter Ubuntu zu implementieren, die erfordert, dass jeder GRUB-Linux-Eintrag Folgendes enthält:

Code: Select all

apparmor=1
security=apparmor

Audit-Skript

Code: Select all

#!/bin/bash
if grep "^\s*linux" /boot/grub/grub.cfg | grep -v "apparmor=1"; then
exit 1
else
if grep "^\s*linux" /boot/grub/grub.cfg | grep -v "security=apparmor"; then
exit 1
else
exit 0
fi
fi

Dieses Prüfskript gibt einen Fehler zurück, selbst nachdem ich die Korrektur ausgeführt habe.
Korrekturskript:

Code: Select all

#!/bin/bash
set -e

GRUB_FILE="/etc/default/grub"
[[ ! -f "${GRUB_FILE}.original" ]] && cp "$GRUB_FILE" "${GRUB_FILE}.original"

current=$(grep '^GRUB_CMDLINE_LINUX=' "$GRUB_FILE" 2>/dev/null | sed 's/^GRUB_CMDLINE_LINUX="\(.*\)"$/\1/' || echo "")

new="$current"
[[ ! "$new" =~ (^|[[:space:]])apparmor=1([[:space:]]|$) ]] && new="$new apparmor=1" && changed=1
[[ ! "$new" =~ (^|[[:space:]])security=apparmor([[:space:]]|$) ]] && new="$new security=apparmor" && changed=1

if [[ -n "$changed" ]]; then
new=$(echo "$new" | xargs)
sed -i "s|^GRUB_CMDLINE_LINUX=.*|GRUB_CMDLINE_LINUX=\"$new\"|" "$GRUB_FILE" || \
echo "GRUB_CMDLINE_LINUX=\"$new\"" >> "$GRUB_FILE"

update-grub 2>/dev/null || grub2-mkconfig -o /boot/grub2/grub.cfg 2>/dev/null || \
grub2-mkconfig -o /boot/grub/grub.cfg

echo "CONFIGURED: Reboot required"
else
echo "ALREADY CONFIGURED"
fi

Nach der Behebung erhalte ich diese Ausgabe, wenn ich das Prüfskript erneut ausführe:

Code: Select all

/boot/memtest86+x64.bin
/boot/memtest86+x64.bin console=ttyS0,115200

Frage: Warum schlägt das Audit-Skript immer noch fehl und wie lassen sich AppArmor-Kernelparameter richtig zuverlässig erkennen?