Apparmor Hilfsprogramme: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
==aa-status== | ==aa-status== | ||
Überblick über die geladenen AppArmor-Profile mit Angabe des Modus | Überblick über die geladenen AppArmor-Profile mit Angabe des Modus | ||
| − | |||
| − | |||
| − | |||
*aa-status | *aa-status | ||
<pre> | <pre> | ||
| Zeile 33: | Zeile 30: | ||
/usr/lib/ipsec/charon (385) | /usr/lib/ipsec/charon (385) | ||
</pre> | </pre> | ||
| + | ==aa-unconfined== | ||
| + | Ausgabe der Prozesse mit Netzwerkzugriff ohne Profil | ||
| + | *aa-unconfined | ||
| + | 375 /usr/sbin/zerotier-one not confined | ||
| + | 385 /usr/lib/ipsec/charon not confined | ||
| + | 459 /usr/sbin/mariadbd not confined | ||
| + | 527 /usr/sbin/sshd (sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups) not confined | ||
==aa-audit== | ==aa-audit== | ||
Profil in den Audit-Modus versetzen | Profil in den Audit-Modus versetzen | ||
| + | *aa-audit /etc/apparmor.d/usr.bin.katze | ||
| + | |||
==aa-complain== | ==aa-complain== | ||
Profil in den Complain-Modus versetzen | Profil in den Complain-Modus versetzen | ||
| + | *aa-complain /etc/apparmor.d/usr.bin.katze | ||
| + | |||
==aa-enforce== | ==aa-enforce== | ||
Profil in den Enforce-Modus versetzen | Profil in den Enforce-Modus versetzen | ||
| + | *aa-enforce /etc/apparmor.d/usr.bin.katze | ||
| + | ==aa-disable== | ||
| + | Profil temporär disablen | ||
| + | *aa-disable /etc/apparmor.d/usr.bin.katze | ||
| + | =disable service from apparmor temporarily= | ||
| + | *apparmor_parser -R /etc/apparmor.d/usr.sbin.tcpdump | ||
| + | =enable to apparmor = | ||
| + | *apparmor_parser /etc/apparmor.d/usr.sbin.tcpdump | ||
| + | =disable service from apparmor permanently= | ||
| + | *ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/ | ||
| + | *systemctl restart apparmor | ||
| + | =undo and enable the service= | ||
| + | *rm /etc/apparmor.d/disable/usr.sbin.tcpdump | ||
| + | *systemctl restart apparmor | ||
| + | |||
==aa-autodep== | ==aa-autodep== | ||
Erstellung eines Basis-Profils im Complain-Modus | Erstellung eines Basis-Profils im Complain-Modus | ||
| + | *aa-autodep /usr/bin/hund | ||
| + | *cat /etc/apparmor.d/usr.bin.hund | ||
| + | <pre> | ||
| + | # Last Modified: Fri May 13 11:00:48 2022 | ||
| + | #include <tunables/global> | ||
| + | |||
| + | /usr/bin/hund flags=(complain) { | ||
| + | #include <abstractions/base> | ||
| + | |||
| + | /usr/bin/hund mr, | ||
| + | |||
| + | } | ||
| + | </pre> | ||
| + | |||
==aa-genprof== | ==aa-genprof== | ||
Erstellung eines Basis-Profils mit interaktiver Ergänzung von Regeln und abschließender Versetzung des Profils in den Enforce-Modus | Erstellung eines Basis-Profils mit interaktiver Ergänzung von Regeln und abschließender Versetzung des Profils in den Enforce-Modus | ||
Aktuelle Version vom 13. Mai 2022, 15:46 Uhr
Installation
- apt install apparmor-utils
AppArmor Utilities
aa-status
Überblick über die geladenen AppArmor-Profile mit Angabe des Modus
- aa-status
apparmor module is loaded. 14 profiles are loaded. 10 profiles are in enforce mode. /usr/bin/man /usr/lib/ipsec/charon /usr/lib/ipsec/stroke apache2//phpmyadmin-a2 lsb_release man_filter man_groff nvidia_modprobe nvidia_modprobe//kmod tcpdump 4 profiles are in complain mode. /usr/bin/katze apache2 apache2//DEFAULT_URI apache2//HANDLING_UNTRUSTED_INPUT 1 processes have profiles defined. 0 processes are in enforce mode. 0 processes are in complain mode. 1 processes are unconfined but have a profile defined. /usr/lib/ipsec/charon (385)
aa-unconfined
Ausgabe der Prozesse mit Netzwerkzugriff ohne Profil
- aa-unconfined
375 /usr/sbin/zerotier-one not confined 385 /usr/lib/ipsec/charon not confined 459 /usr/sbin/mariadbd not confined 527 /usr/sbin/sshd (sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups) not confined
aa-audit
Profil in den Audit-Modus versetzen
- aa-audit /etc/apparmor.d/usr.bin.katze
aa-complain
Profil in den Complain-Modus versetzen
- aa-complain /etc/apparmor.d/usr.bin.katze
aa-enforce
Profil in den Enforce-Modus versetzen
- aa-enforce /etc/apparmor.d/usr.bin.katze
aa-disable
Profil temporär disablen
- aa-disable /etc/apparmor.d/usr.bin.katze
disable service from apparmor temporarily
- apparmor_parser -R /etc/apparmor.d/usr.sbin.tcpdump
enable to apparmor
- apparmor_parser /etc/apparmor.d/usr.sbin.tcpdump
disable service from apparmor permanently
- ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/
- systemctl restart apparmor
undo and enable the service
- rm /etc/apparmor.d/disable/usr.sbin.tcpdump
- systemctl restart apparmor
aa-autodep
Erstellung eines Basis-Profils im Complain-Modus
- aa-autodep /usr/bin/hund
- cat /etc/apparmor.d/usr.bin.hund
# Last Modified: Fri May 13 11:00:48 2022
#include <tunables/global>
/usr/bin/hund flags=(complain) {
#include <abstractions/base>
/usr/bin/hund mr,
}
aa-genprof
Erstellung eines Basis-Profils mit interaktiver Ergänzung von Regeln und abschließender Versetzung des Profils in den Enforce-Modus
aa-logprof
interaktive Ergänzung von Regeln anhand der Einträge in /var/log/syslog
aa-cleanprof
automatisches Aufräumen eines Profils