linux:apparmor

no way to compare when less than two revisions

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.


linux:apparmor [2018/07/12 18:22] (aktuell) – angelegt st
Zeile 1: Zeile 1:
 +====== AppArmor ======
 +
 +AppArmor ist ein Sicherheitsframework / Mandatory Access Control (MAC) für [[linux:Linux]]. Es kontrolliert Anwendungen für die ein Profil mit den Berechtigungen vorliegt (Standard ist ''/etc/apparmor.d'').
 +
 +===== Links =====
 +
 +  * [[http://kerneltrap.org/Linux/AppArmors_Security_Goals|AppArmor's Security Goals]]
 +  * [[http://www.linux.com/article.pl?sid=06/08/14/203253|Protect your applications with AppArmor]]
 +  * [[http://www.linux.com/article.pl?sid=06/12/01/0557219|Firewall Your Applications with AppArmor]]
 +
 +===== Benutzung =====
 +
 +==== Status ====
 +
 +:!: Achtung: Wenn eine app gestartet wurde bevor ein Profil geladen wurde dann bleibt sie unbeschränkt.
 +
 +<code bash>sudo aa-status</code>
 +<file>
 +apparmor module is loaded.
 +26 profiles are loaded.
 +26 profiles are in enforce mode.
 +   /sbin/dhclient
 +   /usr/bin/evince
 +   /usr/bin/evince-previewer
 +   /usr/bin/evince-previewer//sanitized_helper
 +   /usr/bin/evince-thumbnailer
 +   /usr/bin/evince-thumbnailer//sanitized_helper
 +   /usr/bin/evince//sanitized_helper
 +   /usr/lib/NetworkManager/nm-dhcp-client.action
 +   /usr/lib/connman/scripts/dhclient-script
 +   /usr/lib/cups/backend/cups-pdf
 +   /usr/lib/ipsec/charon
 +   /usr/lib/libvirt/virt-aa-helper
 +   /usr/lib/lightdm/lightdm-guest-session
 +   /usr/lib/lightdm/lightdm-guest-session//chromium
 +   /usr/lib/telepathy/mission-control-5
 +   /usr/lib/telepathy/telepathy-*
 +   /usr/lib/telepathy/telepathy-*//pxgsettings
 +   /usr/lib/telepathy/telepathy-*//sanitized_helper
 +   /usr/lib/telepathy/telepathy-ofono
 +   /usr/sbin/cups-browsed
 +   /usr/sbin/cupsd
 +   /usr/sbin/libvirtd
 +   /usr/sbin/mysqld-akonadi
 +   /usr/sbin/mysqld-akonadi///usr/sbin/mysqld
 +   /usr/sbin/tcpdump
 +   docker-default
 +0 profiles are in complain mode.
 +5 processes have profiles defined.
 +5 processes are in enforce mode.
 +   /sbin/dhclient (1144) 
 +   /usr/lib/telepathy/mission-control-5 (2921) 
 +   /usr/sbin/cups-browsed (964) 
 +   /usr/sbin/cupsd (720) 
 +   /usr/sbin/libvirtd (1382) 
 +0 processes are in complain mode.
 +0 processes are unconfined but have a profile defined.
 +</file>
 +
 +==== Profil löschen ====
 +
 +
 +
 +==== AppArmor stoppen ====
 +
 +<code bash>
 +service apparmor teardown
 +</code>
 +stop leert nur den cache.
 +
 +==== AppArmor starten ====
 +
 +<code bash>
 +service apparmor start
 +</code>
 +
 +
 +==== AppArmor Utilities ====
 +
 +Nach der Installation von apparmor-utils stehen folgende Werkzeuge zur Verfügung:
 +
 +^ Utility ^ Beschreibung ^
 +| aa-status | Überblick über die geladenen AppArmor-Profile mit Angabe des Modus |
 +| aa-unconfined | Ausgabe der Prozesse mit Netzwerkzugriff ohne Profil |
 +| aa-audit | Profil in den Audit-Modus versetzen |
 +| aa-complain | Profil in den Complain-Modus versetzen |
 +| aa-enforce | Profil in den Enforce-Modus versetzen |
 +| aa-autodep | Erstellung eines Basis-Profils im Complain-Modus |
 +| aa-genprof | Erstellung eines Basis-Profils mit interaktiver Ergänzung von Regeln und abschließender Versetzung des Profils in den Enforce-Modus  |
 +| aa-logprof | interaktive Ergänzung von Regeln anhand der Einträge in /var/log/syslog |
 +| aa-cleanprof | automatisches Aufräumen eines Profils |
 +
 +[[https://wiki.ubuntuusers.de/AppArmor/|Quelle]]
 +