Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

linux:apparmor [2018/07/12 20:22] (aktuell)
st angelegt
Zeile 1: Zeile 1:
 +====== AppArmor ======
 +
 +AppArmor ist ein Sicherheitsframework / Mandatory Access Control (MAC) für [[linux:​Linux]]. Es kontrolliert Anwendungen für die ein Profil mit den Berechtigungen vorliegt (Standard ist ''/​etc/​apparmor.d''​).
 +
 +===== Links =====
 +
 +  * [[http://​kerneltrap.org/​Linux/​AppArmors_Security_Goals|AppArmor'​s Security Goals]]
 +  * [[http://​www.linux.com/​article.pl?​sid=06/​08/​14/​203253|Protect your applications with AppArmor]]
 +  * [[http://​www.linux.com/​article.pl?​sid=06/​12/​01/​0557219|Firewall Your Applications with AppArmor]]
 +
 +===== Benutzung =====
 +
 +==== Status ====
 +
 +:!: Achtung: Wenn eine app gestartet wurde bevor ein Profil geladen wurde dann bleibt sie unbeschränkt.
 +
 +<code bash>​sudo aa-status</​code>​
 +<​file>​
 +apparmor module is loaded.
 +26 profiles are loaded.
 +26 profiles are in enforce mode.
 +   /​sbin/​dhclient
 +   /​usr/​bin/​evince
 +   /​usr/​bin/​evince-previewer
 +   /​usr/​bin/​evince-previewer//​sanitized_helper
 +   /​usr/​bin/​evince-thumbnailer
 +   /​usr/​bin/​evince-thumbnailer//​sanitized_helper
 +   /​usr/​bin/​evince//​sanitized_helper
 +   /​usr/​lib/​NetworkManager/​nm-dhcp-client.action
 +   /​usr/​lib/​connman/​scripts/​dhclient-script
 +   /​usr/​lib/​cups/​backend/​cups-pdf
 +   /​usr/​lib/​ipsec/​charon
 +   /​usr/​lib/​libvirt/​virt-aa-helper
 +   /​usr/​lib/​lightdm/​lightdm-guest-session
 +   /​usr/​lib/​lightdm/​lightdm-guest-session//​chromium
 +   /​usr/​lib/​telepathy/​mission-control-5
 +   /​usr/​lib/​telepathy/​telepathy-*
 +   /​usr/​lib/​telepathy/​telepathy-*//​pxgsettings
 +   /​usr/​lib/​telepathy/​telepathy-*//​sanitized_helper
 +   /​usr/​lib/​telepathy/​telepathy-ofono
 +   /​usr/​sbin/​cups-browsed
 +   /​usr/​sbin/​cupsd
 +   /​usr/​sbin/​libvirtd
 +   /​usr/​sbin/​mysqld-akonadi
 +   /​usr/​sbin/​mysqld-akonadi///​usr/​sbin/​mysqld
 +   /​usr/​sbin/​tcpdump
 +   ​docker-default
 +0 profiles are in complain mode.
 +5 processes have profiles defined.
 +5 processes are in enforce mode.
 +   /​sbin/​dhclient (1144) ​
 +   /​usr/​lib/​telepathy/​mission-control-5 (2921) ​
 +   /​usr/​sbin/​cups-browsed (964) 
 +   /​usr/​sbin/​cupsd (720) 
 +   /​usr/​sbin/​libvirtd (1382) ​
 +0 processes are in complain mode.
 +0 processes are unconfined but have a profile defined.
 +</​file>​
 +
 +==== Profil löschen ====
 +
 +
 +
 +==== AppArmor stoppen ====
 +
 +<code bash>
 +service apparmor teardown
 +</​code>​
 +stop leert nur den cache.
 +
 +==== AppArmor starten ====
 +
 +<code bash>
 +service apparmor start
 +</​code>​
 +
 +
 +==== AppArmor Utilities ====
 +
 +Nach der Installation von apparmor-utils stehen folgende Werkzeuge zur Verfügung:
 +
 +^ Utility ^ Beschreibung ^
 +| aa-status | Überblick über die geladenen AppArmor-Profile mit Angabe des Modus |
 +| aa-unconfined | Ausgabe der Prozesse mit Netzwerkzugriff ohne Profil |
 +| aa-audit | Profil in den Audit-Modus versetzen |
 +| aa-complain | Profil in den Complain-Modus versetzen |
 +| aa-enforce | Profil in den Enforce-Modus versetzen |
 +| aa-autodep | Erstellung eines Basis-Profils im Complain-Modus |
 +| aa-genprof | Erstellung eines Basis-Profils mit interaktiver Ergänzung von Regeln und abschließender Versetzung des Profils in den Enforce-Modus ​ |
 +| aa-logprof | interaktive Ergänzung von Regeln anhand der Einträge in /​var/​log/​syslog |
 +| aa-cleanprof | automatisches Aufräumen eines Profils |
 +
 +[[https://​wiki.ubuntuusers.de/​AppArmor/​|Quelle]]
 +