Apparmor Apache2: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Die apparmor-utils sollten installiert sein=
 
*apt-get install apparmor-utils
 
=Installation dem Apache2 Modules=
 
*apt install libapache2-mod-apparmor
 
=Aktivieren des Moduls=
 
*aa-enforce /etc/apparmor.d/usr.sbin.apache2
 
=Konfiguration von Apache2=
 
*a2enmod mpm_prefork
 
*a2enmod apparmor
 
*systemctl restart apache2
 
=Gucken ob apache2 Dinge tut die, die er nicht darf=
 
*aa-logprof
 
 
=Absicherung eines Apache2-Webservers mit AppArmor auf Debian=
 
=Absicherung eines Apache2-Webservers mit AppArmor auf Debian=
  
 
==Ziel==
 
==Ziel==
* Minimierung der Angriffsfläche durch strikte Zugriffskontrolle.
+
* Reduzierung der Angriffsfläche durch Zugriffsbeschränkungen auf Dateisystemebene.
* Nur explizit erlaubte Dateien, Verzeichnisse und Aktionen für den Apache-Prozess.
+
* Der Apache2-Prozess darf nur auf explizit erlaubte Dateien und Verzeichnisse zugreifen.
* Schutz vor Webshells, Directory Traversal und unautorisierten Zugriffen.
+
* Schutz vor Webshells, ungewolltem Zugriff auf /etc/, /root/, etc.
  
 
==Voraussetzungen==
 
==Voraussetzungen==
* Debian-basiertes System (z. B. Debian 12, Ubuntu)
+
* Debian 12 oder aktuelles Ubuntu-System mit Apache2
* Apache2 ist installiert und läuft
+
* root-Zugriff
* AppArmor ist aktiv (Standard auf Debian)
 
  
==Status prüfen==
+
==Installation der AppArmor-Werkzeuge==
 +
*apt install apparmor apparmor-utils apparmor-profiles apparmor-profiles-extra
  
*Läuft AppArmor?*
+
==AppArmor-Status prüfen==
systemctl status apparmor
+
*systemctl status apparmor
 +
*aa-status | grep apache2
  
*Ist das Apache-Profil geladen?*
+
==Funktionsfähiges Apache2-Profil erstellen==
aa-status | grep apache2
+
*nano /etc/apparmor.d/usr.sbin.apache2
  
==AppArmor-Profil für Apache2 aktivieren==
+
<pre>
 +
#include <tunables/global>
  
*Standardpfad des Profils prüfen (meist bereits vorhanden):*
+
profile /usr/sbin/apache2 flags=(complain) {
ls /etc/apparmor.d/usr.sbin.apache2
+
  /usr/sbin/apache2 mr,
 +
  /etc/apache2/** r,
 +
  /var/www/ r,
 +
  /var/www/** r,
 +
  /run/apache2/** rw,
 +
  /var/log/apache2/** rw,
 +
  /tmp/** rw,
 +
  /dev/null rw,
 +
  /dev/log w,
 +
  /usr/share/zoneinfo/** r,
 +
  /etc/passwd r,
 +
  /etc/group r,
 +
  /etc/host.conf r,
 +
  /etc/nsswitch.conf r,
 +
  /etc/resolv.conf r,
 +
  /lib/** mr,
 +
  /usr/lib/** mr,
 +
  /lib64/** mr,
 +
  /usr/lib64/** mr,
 +
  /lib/x86_64-linux-gnu/ld-*.so mr,
 +
  network inet stream,
 +
  network inet6 stream,
 +
  network inet dgram,
 +
  network inet6 dgram,
 +
  network netlink raw,
 +
  capability net_bind_service,
 +
  capability setuid,
 +
  capability setgid,
 +
  capability sys_chroot,
 +
}
 +
</pre>
  
*Profil aktivieren:*
+
==Profil aktivieren (zunächst im Lernmodus)==
ln -s /etc/apparmor.d/usr.sbin.apache2 /etc/apparmor.d/force-complain/usr.sbin.apache2
+
*apparmor_parser -r /etc/apparmor.d/usr.sbin.apache2
aa-enforce /etc/apparmor.d/usr.sbin.apache2
+
*aa-complain /etc/apparmor.d/usr.sbin.apache2
 +
*systemctl restart apache2
  
==AppArmor in den Audit-Log-Modus versetzen (zum Anlernen)==
+
==Traffic erzeugen und Log beobachten==
 +
*Im Browser verschiedene Seiten und Funktionen der Website aufrufen
 +
*journalctl -xe | grep DENIED
  
*In complain mode wechseln:*
+
==Profil anpassen und verfeinern==
aa-complain /etc/apparmor.d/usr.sbin.apache2
+
*aa-logprof
 +
*Empfohlene Regeln prüfen und anwenden
  
*Apache-Dienst neu starten:*
+
==Profil in Durchsetzungsmodus setzen==
systemctl restart apache2
+
*aa-enforce /etc/apparmor.d/usr.sbin.apache2
 +
*systemctl restart apache2
  
*Webseite besuchen, damit Zugriffe geloggt werden.*
+
==Beispiel: Zugriff auf benutzerdefiniertes Webroot erlauben==
 
+
Füge im Profil hinzu, wenn z. B. /srv/www genutzt wird:
==Profil erweitern/lernen==
 
 
 
*Log prüfen und Profilvorschläge generieren:*
 
aa-logprof
 
 
 
*Einträge durchgehen, sinnvolle Zugriffe erlauben, alles andere ablehnen.*
 
 
 
==Zurück in den Enforce-Modus wechseln==
 
 
 
*Nach dem Anlernen wieder aktiv schalten:*
 
aa-enforce /etc/apparmor.d/usr.sbin.apache2
 
 
 
==Beispiel: Zugriff auf /srv/www erlauben==
 
 
 
*Wenn du das Webroot geändert hast (z. B. auf /srv/www), musst du das Profil anpassen:*
 
nano /etc/apparmor.d/usr.sbin.apache2
 
 
 
*Ergänzen:*
 
 
  /srv/www/ r,
 
  /srv/www/ r,
 
  /srv/www/** r,
 
  /srv/www/** r,
  
==Tuning: Schreibzugriffe nur auf spezielle Verzeichnisse erlauben==
+
==Beispiel: Schreibzugriffe auf Upload-Verzeichnis erlauben==
 
 
*Beispiel für Uploads:*
 
 
  /var/www/html/uploads/ rw,
 
  /var/www/html/uploads/ rw,
 
  /var/www/html/uploads/** rw,
 
  /var/www/html/uploads/** rw,
  
==Testen==
+
==Fehlersuche==
 +
*journalctl -xe | grep DENIED
 +
*aa-logprof
 +
*aa-status
  
*AppArmor-Modus anzeigen:*
+
==Hinweis==
aa-status
+
*Das Paket libapache2-mod-apparmor ist veraltet und nicht notwendig.
 +
*AppArmor-Module im Apache selbst müssen nicht aktiviert werden.
  
*Fehlermeldungen prüfen:*
+
==Abschluss==
journalctl -xe | grep DENIED
+
*aa-enforce /etc/apparmor.d/usr.sbin.apache2
 
+
*systemctl restart apache2
==Apache neu starten==
+
*Funktion der Website vollständig prüfen
 
 
*Nach jeder Profiländerung:*
 
systemctl restart apache2
 

Aktuelle Version vom 24. Juni 2025, 16:41 Uhr

Absicherung eines Apache2-Webservers mit AppArmor auf Debian

Ziel

  • Reduzierung der Angriffsfläche durch Zugriffsbeschränkungen auf Dateisystemebene.
  • Der Apache2-Prozess darf nur auf explizit erlaubte Dateien und Verzeichnisse zugreifen.
  • Schutz vor Webshells, ungewolltem Zugriff auf /etc/, /root/, etc.

Voraussetzungen

  • Debian 12 oder aktuelles Ubuntu-System mit Apache2
  • root-Zugriff

Installation der AppArmor-Werkzeuge

  • apt install apparmor apparmor-utils apparmor-profiles apparmor-profiles-extra

AppArmor-Status prüfen

  • systemctl status apparmor
  • aa-status | grep apache2

Funktionsfähiges Apache2-Profil erstellen

  • nano /etc/apparmor.d/usr.sbin.apache2
#include <tunables/global>

profile /usr/sbin/apache2 flags=(complain) {
  /usr/sbin/apache2 mr,
  /etc/apache2/** r,
  /var/www/ r,
  /var/www/** r,
  /run/apache2/** rw,
  /var/log/apache2/** rw,
  /tmp/** rw,
  /dev/null rw,
  /dev/log w,
  /usr/share/zoneinfo/** r,
  /etc/passwd r,
  /etc/group r,
  /etc/host.conf r,
  /etc/nsswitch.conf r,
  /etc/resolv.conf r,
  /lib/** mr,
  /usr/lib/** mr,
  /lib64/** mr,
  /usr/lib64/** mr,
  /lib/x86_64-linux-gnu/ld-*.so mr,
  network inet stream,
  network inet6 stream,
  network inet dgram,
  network inet6 dgram,
  network netlink raw,
  capability net_bind_service,
  capability setuid,
  capability setgid,
  capability sys_chroot,
}

Profil aktivieren (zunächst im Lernmodus)

  • apparmor_parser -r /etc/apparmor.d/usr.sbin.apache2
  • aa-complain /etc/apparmor.d/usr.sbin.apache2
  • systemctl restart apache2

Traffic erzeugen und Log beobachten

  • Im Browser verschiedene Seiten und Funktionen der Website aufrufen
  • journalctl -xe | grep DENIED

Profil anpassen und verfeinern

  • aa-logprof
  • Empfohlene Regeln prüfen und anwenden

Profil in Durchsetzungsmodus setzen

  • aa-enforce /etc/apparmor.d/usr.sbin.apache2
  • systemctl restart apache2

Beispiel: Zugriff auf benutzerdefiniertes Webroot erlauben

Füge im Profil hinzu, wenn z. B. /srv/www genutzt wird: 

/srv/www/ r,
/srv/www/** r,

Beispiel: Schreibzugriffe auf Upload-Verzeichnis erlauben

/var/www/html/uploads/ rw,
/var/www/html/uploads/** rw,

Fehlersuche

  • journalctl -xe | grep DENIED
  • aa-logprof
  • aa-status

Hinweis

  • Das Paket libapache2-mod-apparmor ist veraltet und nicht notwendig.
  • AppArmor-Module im Apache selbst müssen nicht aktiviert werden.

Abschluss

  • aa-enforce /etc/apparmor.d/usr.sbin.apache2
  • systemctl restart apache2
  • Funktion der Website vollständig prüfen
Abgerufen von „http://wiki.ixheim.de/index.php?title=Apparmor_Apache2&oldid=63442