Apparmor Handling: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt) | |||
| Zeile 60: | Zeile 60: | ||
**Checken potentieller Regelverstösse | **Checken potentieller Regelverstösse | ||
| − | |||
| − | |||
==aa-audit== | ==aa-audit== | ||
Setzen einen Anwendung in den Auditmodus | Setzen einen Anwendung in den Auditmodus | ||
| Zeile 78: | Zeile 76: | ||
=disable service from apparmor permanently= | =disable service from apparmor permanently= | ||
*ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/ | *ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/ | ||
| + | *aa-disable /etc/apparmor.d/<profile-name> | ||
*systemctl restart apparmor | *systemctl restart apparmor | ||
Aktuelle Version vom 2. Juli 2024, 07:05 Uhr
Checken ob Apparmor installiert ist
- dpkg -l apparmor
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name Version Architektur Beschreibung
+++-=========================================-=========================-=========================-=======================================================================================
ii apparmor 2.10.95-0ubuntu2.6 amd64 user-space parser utility for AppArmor
Läuft Apparmor
- systemctl status apparmor
● apparmor.service - LSB: AppArmor initialization
Loaded: loaded (/etc/init.d/apparmor; bad; vendor preset: enabled)
Active: active (exited) since Di 2017-10-24 11:55:53 CEST; 2 weeks 3 days ago
Docs: man:systemd-sysv-generator(8)
Process: 591 ExecStart=/etc/init.d/apparmor start (code=exited, status=0/SUCCESS)
Tasks: 0
Memory: 0B
CPU: 0
Hilfsprogramme
- apt-get install apparmor-utils
AA Status
- aa-status
apparmor module is loaded. 7 profiles are loaded. 7 profiles are in enforce mode. /usr/bin/man lsb_release man_filter man_groff nvidia_modprobe nvidia_modprobe//kmod tcpdump 0 profiles are in complain mode. 0 processes have profiles defined. 0 processes are in enforce mode. 0 processes are in complain mode. 0 processes are unconfined but have a profile defined.
Verzeichnisstruktur
- Globale und Systemeinstellungen sind in /etc/apparmor gespeichert.
- Die Anwendungsprofile sowie mehrere vordefinierte Unterverzeichnisse befinden sich in /etc/apparmor.d/.
disable und force-complain
- Enthält /etc/apparmor.d/disable eine Verknüpfung zu einem Profil, so wird dieses nicht automatisch geladen.
- Ähnlich sorgen Verknüpfungen unter /etc/apparmor.d/force-complain dafür, dass Profile nur im complain-Modus geladen werden (siehe unten).
Apparmor Modi
- Enforce-Modus
- Unterbindet alle Regelverstösse
- Complain-Modus
- Protokolliert alle Regelverstösse
- Audit-Modus
- Checken potentieller Regelverstösse
aa-audit
Setzen einen Anwendung in den Auditmodus
- aa-audit /etc/apparmor.d/usr.lib.ipsec.charon
Setting /etc/apparmor.d/usr.lib.ipsec.charon to audit mode.
aa-unconfined
Checken welche Netzwerkdienste nicht überwacht werden
- aa-unconfined
1034 /usr/sbin/sshd not confined 17017 /usr/lib/ipsec/charon confined by '/usr/lib/ipsec/charon (enforce)'
disable service from apparmor temporarily
- apparmor_parser -R /etc/apparmor.d/usr.sbin.tcpdump
enable to apparmor
- apparmor_parser /etc/apparmor.d/usr.sbin.tcpdump
disable service from apparmor permanently
- ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/
- aa-disable /etc/apparmor.d/<profile-name>
- systemctl restart apparmor
undo and enable the service
- rm /etc/apparmor.d/disable/usr.sbin.tcpdump
- systemctl restart apparmor