Apparmor From Scratch

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Einführung

  • Man kann fast jedes Profil für AppArmor im Community-Forum oder beim Projektautor erhalten
  • Es gibt aber auch einige Tools zum Erstellen Ihres Profils von Grund auf bereitstellt
  • Die geschieht sowohl interaktiv (unter Verwendung des Audit-Protokolls) als auch mit Hilfe von Vorlagen.

Konkret

  • Wir wollen hier ein Programmprofil für das cat-Programm schreiben, das es daran hindert, den Inhalt der Dateien /etc/passwd und /etc/group zu lesen
  • Jede andere Datei im /tmp-Verzeichnis und im Home-Verzeichnis soll aber gelesen werden können
  • Wir machen eine kopie von "cat" mit den Namen "katze"
  • Für diese erstellen wir dann ein apparmor-Profil

Einige wichtige Punkte für die Profildefinition

  • Sie können sowohl absolute Pfade als auch Glob-Muster einbeziehen.
  • Sie können beispielsweise entweder den absoluten Pfad /etc/passwd hinzufügen oder alle Dateien über das Glob-Muster /tmp/* einbinden lassen.
  • Sie können einen oder mehrere Zugriffstypen auf die Datei aus der folgenden Liste haben
    • r ⇒ bietet Lesezugriff auf die Datei
    • w ⇒ bietet Schreibzugriff auf die Datei
    • m ⇒ Memory Map als ausführbar. Es wird für Programmdateien oder *.so-Dateien verwendet
    • l ⇒ bietet Erstellung für Symlinks
    • k ⇒ Sperren von Zeiten. Dies wird normalerweise verwendet, wenn mehr als ein Prozess die Datei öffnen könnte, zum Beispiel das /tmp-Verzeichnis. Es wird meistens in Verbindung mit Schreibzugriff verwendet
  • Es gibt weitere Berechtigungen wie ix, Px, Cx und Ux, aber in den meisten Fällen werden die oben genannten verwendet
  • Unterstützt auch Zugriffskontrollen von Fähigkeiten, Netzwerken, DBus, PTrace und UNIX-Domain-Sockets.
  • Auch Variablen werden im Profil unterstützt, zum Beispiel @{MY_VAR}.
  • Einige gemeinsame Variablen sind in /etc/apparmor.d/tunables/global definiert.
  • Sie können #include <tunables/global>-Makros am Anfang der Datei haben
  • Explizite Verweigerungsregeln werden unterstützt.
  • Dies haben wir bereits im letzten Beitrag besprochen

Profil für /bin/rcat wird erstellt

Es gibt zwei Möglichkeiten, die Profile für ein Programm zu erstellen

aa-genprof

  • Mit aa-genprof können Sie ein Profil erstellen und die Binärdatei als Audit markieren.
  • Danach werden Sie aufgefordert, die Binärdatei auszuführen, und dies erzeugt Protokolle in der Datei /var/log/audit/audit.log.
  • Es wird dann diese Datei scannen und Ihnen automatisch Einträge und Optionen dafür anzeigen.
  • Dies wird für laufende Programme/Anwendungen verwendetfür eine begrenzte Zeit (z. B. Webbrowser, Mailclient) und in diesem Fall /bin/rcat

aa-autodep

  • Mit aa-autodep können Sie ein Profil erstellen, das sich auf mehrere Programme auswirkt,
  • Die auf unbestimmte Zeit oder kontinuierlich über Neustarts hinweg ausgeführt werden. Zum Beispiel Webserver usw.

konkret

  • Da der Befehl in diesem Fall für eine endliche Zeit eins ist, verwenden wir den Befehl aa-genprof zum Generieren des Profils.
  • Um mit der Profilerstellung zu beginnen, führen Sie den Befehl gefolgt vom Pfad des Programms sudo aa-genprof /bin/katze aus.
  • Dies dient dazu, eine grundlegende Profildatei zu erstellen und sie mit „Beschweren“ zu kennzeichnen.

Quellen

Abgerufen von „http://wiki.ixheim.de/index.php?title=Apparmor_From_Scratch&oldid=33146