<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hello <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Some time ago - generally last year - I'd asked a question about netstat(8) and its AppArmor profile [1], which contains rules related to the IPv6 protocol, such as: <br><br>owner @{PROC}/*/net/tcp6 r, <br>owner @{PROC}/*/net/udp6 r, <br>owner @{PROC}/*/net/raw6 r, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">For now, I'm not using this protocol, so I was advised by Mr John Johansen [2] that: "if you aren't using ipv6 you should be able to drop them". According to His suggestion I removed these rules. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">But a one week ago I noticed (if I remember - during chkrootkit tests etc.), that system log files, for example, '/var/log/kern.log' contains: <br><br>Jan  4 18:07:59 t4 kernel: [25051.745979] type=1400 audit(1483549679.968:46): apparmor="DENIED" operation="open" parent=3863 profile="/bin/netstat" name="/proc/4199/net/tcp6" pid=4199 comm="netstat" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 <br><br>Jan  4 18:07:59 t4 kernel: [25051.746124] type=1400 audit(1483549679.968:47): apparmor="DENIED" operation="open" parent=3863 profile="/bin/netstat" name="/proc/4199/net/udp6" pid=4199 comm="netstat" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 <br><br>Jan  4 18:07:59 t4 kernel: [25051.746190] type=1400 audit(1483549679.968:48): apparmor="DENIED" operation="open" parent=3863 profile="/bin/netstat" name="/proc/4199/net/raw6" pid=4199 comm="netstat" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">As we can see these DENIED entries are related to rules, which I've removed previously. So: are they needed or not? (I'm not using the IPv6 protocol.) <span id="result_box" class="short_text" lang="en"><span class="">Have I restore these rules back? Or maybe it's just an effect of a chkrootkit and I don't need to use rules related to IPv6 proto? <br><br></span></span><span id="result_box" class="short_text" lang="en"><span class="">What is your opinion on this one? I'm sorry for such naive questions. <br></span></span></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Best regards. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">_____________<br>[1] <a href="https://github.com/Harvie/AppArmor-Profiles/blob/master/bin.netstat">https://github.com/Harvie/AppArmor-Profiles/blob/master/bin.netstat</a> <br>[2] <a href="https://lists.ubuntu.com/archives/apparmor/2016-December/010329.html">https://lists.ubuntu.com/archives/apparmor/2016-December/010329.html</a>  <br></div></div>