Apparmor Apache2: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 7: Zeile 7:
  
 
==Voraussetzungen==
 
==Voraussetzungen==
* Debian- oder Ubuntu-System mit Apache2
+
* Debian 12 oder aktuelles Ubuntu-System mit Apache2
 
* root-Zugriff
 
* root-Zugriff
  
 
==Installation der AppArmor-Werkzeuge==
 
==Installation der AppArmor-Werkzeuge==
*apt-get install apparmor apparmor-utils
+
*apt install apparmor apparmor-utils apparmor-profiles apparmor-profiles-extra
  
==Status prüfen==
+
==AppArmor-Status prüfen==
 
*systemctl status apparmor
 
*systemctl status apparmor
 
*aa-status | grep apache2
 
*aa-status | grep apache2
  
==AppArmor-Profil für Apache2 aktivieren==
+
==Funktionsfähiges Apache2-Profil erstellen==
*aa-enforce /etc/apparmor.d/usr.sbin.apache2
+
*nano /etc/apparmor.d/usr.sbin.apache2
 +
 
 +
<pre>
 +
#include <tunables/global>
 +
 
 +
profile /usr/sbin/apache2 flags=(complain) {
 +
  /usr/sbin/apache2 mr,
 +
  /etc/apache2/** r,
 +
  /var/www/ r,
 +
  /var/www/** r,
 +
  /run/apache2/** rw,
 +
  /var/log/apache2/** rw,
 +
  /tmp/** rw,
 +
  /dev/null rw,
 +
  /dev/log w,
 +
  /usr/share/zoneinfo/** r,
 +
  /etc/passwd r,
 +
  /etc/group r,
 +
  /etc/host.conf r,
 +
  /etc/nsswitch.conf r,
 +
  /etc/resolv.conf r,
 +
  /lib/** mr,
 +
  /usr/lib/** mr,
 +
  /lib64/** mr,
 +
  /usr/lib64/** mr,
 +
  /lib/x86_64-linux-gnu/ld-*.so mr,
 +
  network inet stream,
 +
  network inet6 stream,
 +
  network inet dgram,
 +
  network inet6 dgram,
 +
  network netlink raw,
 +
  capability net_bind_service,
 +
  capability setuid,
 +
  capability setgid,
 +
  capability sys_chroot,
 +
}
 +
</pre>
  
==Profil in Lernmodus setzen (optional)==
+
==Profil aktivieren (zunächst im Lernmodus)==
 +
*apparmor_parser -r /etc/apparmor.d/usr.sbin.apache2
 
*aa-complain /etc/apparmor.d/usr.sbin.apache2
 
*aa-complain /etc/apparmor.d/usr.sbin.apache2
 
*systemctl restart apache2
 
*systemctl restart apache2
Zeile 28: Zeile 65:
 
*journalctl -xe | grep DENIED
 
*journalctl -xe | grep DENIED
  
==Profilvorschläge durchgehen==
+
==Profil anpassen und verfeinern==
 
*aa-logprof
 
*aa-logprof
 
*Empfohlene Regeln prüfen und anwenden
 
*Empfohlene Regeln prüfen und anwenden
Zeile 37: Zeile 74:
  
 
==Beispiel: Zugriff auf benutzerdefiniertes Webroot erlauben==
 
==Beispiel: Zugriff auf benutzerdefiniertes Webroot erlauben==
*nano /etc/apparmor.d/usr.sbin.apache2
+
Füge im Profil hinzu, wenn z. B. /srv/www genutzt wird:
 
 
Folgende Zeilen ergänzen, wenn z. B. /srv/www genutzt wird:
 
 
  /srv/www/ r,
 
  /srv/www/ r,
 
  /srv/www/** r,
 
  /srv/www/** r,
Zeile 53: Zeile 88:
  
 
==Hinweis==
 
==Hinweis==
*Das alte Paket libapache2-mod-apparmor wird nicht mehr benötigt und ist auf aktuellen Debian-Systemen überflüssig.
+
*Das Paket libapache2-mod-apparmor ist veraltet und nicht notwendig.
*Die Apache2-Module mpm_prefork oder apparmor müssen nicht extra aktiviert werden.
+
*AppArmor-Module im Apache selbst müssen nicht aktiviert werden.
  
 
==Abschluss==
 
==Abschluss==
 +
*aa-enforce /etc/apparmor.d/usr.sbin.apache2
 
*systemctl restart apache2
 
*systemctl restart apache2
*Test der Website und Prüfung, ob alle Funktionen wie erwartet laufen
+
*Funktion der Website vollständig prüfen

Aktuelle Version vom 24. Juni 2025, 16:41 Uhr

Absicherung eines Apache2-Webservers mit AppArmor auf Debian

Ziel

  • Reduzierung der Angriffsfläche durch Zugriffsbeschränkungen auf Dateisystemebene.
  • Der Apache2-Prozess darf nur auf explizit erlaubte Dateien und Verzeichnisse zugreifen.
  • Schutz vor Webshells, ungewolltem Zugriff auf /etc/, /root/, etc.

Voraussetzungen

  • Debian 12 oder aktuelles Ubuntu-System mit Apache2
  • root-Zugriff

Installation der AppArmor-Werkzeuge

  • apt install apparmor apparmor-utils apparmor-profiles apparmor-profiles-extra

AppArmor-Status prüfen

  • systemctl status apparmor
  • aa-status | grep apache2

Funktionsfähiges Apache2-Profil erstellen

  • nano /etc/apparmor.d/usr.sbin.apache2
#include <tunables/global>

profile /usr/sbin/apache2 flags=(complain) {
  /usr/sbin/apache2 mr,
  /etc/apache2/** r,
  /var/www/ r,
  /var/www/** r,
  /run/apache2/** rw,
  /var/log/apache2/** rw,
  /tmp/** rw,
  /dev/null rw,
  /dev/log w,
  /usr/share/zoneinfo/** r,
  /etc/passwd r,
  /etc/group r,
  /etc/host.conf r,
  /etc/nsswitch.conf r,
  /etc/resolv.conf r,
  /lib/** mr,
  /usr/lib/** mr,
  /lib64/** mr,
  /usr/lib64/** mr,
  /lib/x86_64-linux-gnu/ld-*.so mr,
  network inet stream,
  network inet6 stream,
  network inet dgram,
  network inet6 dgram,
  network netlink raw,
  capability net_bind_service,
  capability setuid,
  capability setgid,
  capability sys_chroot,
}

Profil aktivieren (zunächst im Lernmodus)

  • apparmor_parser -r /etc/apparmor.d/usr.sbin.apache2
  • aa-complain /etc/apparmor.d/usr.sbin.apache2
  • systemctl restart apache2

Traffic erzeugen und Log beobachten

  • Im Browser verschiedene Seiten und Funktionen der Website aufrufen
  • journalctl -xe | grep DENIED

Profil anpassen und verfeinern

  • aa-logprof
  • Empfohlene Regeln prüfen und anwenden

Profil in Durchsetzungsmodus setzen

  • aa-enforce /etc/apparmor.d/usr.sbin.apache2
  • systemctl restart apache2

Beispiel: Zugriff auf benutzerdefiniertes Webroot erlauben

Füge im Profil hinzu, wenn z. B. /srv/www genutzt wird: 

/srv/www/ r,
/srv/www/** r,

Beispiel: Schreibzugriffe auf Upload-Verzeichnis erlauben

/var/www/html/uploads/ rw,
/var/www/html/uploads/** rw,

Fehlersuche

  • journalctl -xe | grep DENIED
  • aa-logprof
  • aa-status

Hinweis

  • Das Paket libapache2-mod-apparmor ist veraltet und nicht notwendig.
  • AppArmor-Module im Apache selbst müssen nicht aktiviert werden.

Abschluss

  • aa-enforce /etc/apparmor.d/usr.sbin.apache2
  • systemctl restart apache2
  • Funktion der Website vollständig prüfen
Abgerufen von „http://wiki.ixheim.de/index.php?title=Apparmor_Apache2&oldid=63442