AppArmor

AppArmor is een Linux Security Module implementatie van op naam gebaseerde toegangscontrole. AppArmor beperkt individuele programma's tot een set van specifieke bestanden. Één van de doelen van AppArmor is dat het makkelijk te begrijpen en makkelijk toe te passen moet zijn. AppArmor is echter nog vrij nieuw in Ubuntu, en omdat het nog redelijk ingewikkeld is, is het nog niet geschikt om gebruikt te worden door beginnende gebruikers.

AppArmor is beschikbaar vanaf Ubuntu 7.04 (Feisty Fawn).

Installatie

Ubuntu 7.10 (Gutsy)

AppArmor is standaard geïnstalleerd en geladen in Gutsy. Enkele pakketten installeren hun eigen profielen. Aanvullende profielen kunnen gevonden worden in het pakket apparmor-profiles van de Universe repository.

Installeren van aanvullende AppArmor profielen

activeer de Universe repository
Installeer apparmor-profiles

Ubuntu 7.04 (Feisty)

AppArmor is standaard niet ingevoegd in de Feisty kernel. het moet handmatig gecompileerd worden.

activeer de Universe repository
Installeer apparmor-modules-source en module-assistant pakketten
Compileer de apparmor kernel module :

sudo m-a -v -t prepare
sudo m-a -v -t -f build apparmor-modules
sudo m-a -v -t install apparmor-modules

Installeer apparmor-profiles, apparmor-utils en apparmor pakketten

Installeer de nieuwste versie

Om de nieuwste apparmor pakketten te installeren in Feisty moeten de pakketten herbouwd worden. Zie latest apparmor utilities for feisty (LP #116627).

Kernel upgrade / apparmor-module-source upgrade

Wanneer een nieuwe kernel is geïnstalleerd of wanneer een nieuwe versie van apparmor-module-source is geïnstalleerd, dan moet de apparmor module gehercompileerd worden :

sudo m-a -v -t -f build apparmor-modules
sudo m-a -v -t install apparmor-modules

om er zeker van te zijn dat alle draaiende processen beschermd zijn moet het systeem opnieuw gestart worden.

Gebruik

Alle opdrachten dienen in een terminal uitgevoerd te worden.

Geef de huidige status van apparmor weer

sudo apparmor_status

Plaats een profiel in complain mode

sudo aa-complain /path/to/bin

Voorbeeld:

sudo aa-complain /bin/ping

Plaats alle profielen in complain mode

sudo aa-complain /etc/apparmor.d/*

Plaats een profiel in enforce mode

sudo aa-enforce /path/to/bin

Voorbeeld:

sudo aa-enforce /bin/ping

Plaats alle profielen in enforce mode

sudo aa-enforce /etc/apparmor.d/*

Deactiveer AppArmor raamwerk

sudo /etc/init.d/apparmor kill
sudo update-rc.d -f apparmor remove

Activeer AppArmor raamwerk

sudo /etc/init.d/apparmor start
sudo update-rc.d apparmor start 37 S .

Herlaad alle profielen

sudo /etc/init.d/apparmor reload

Herlaad een profiel

cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r

Voorbeeld:

cat /etc/apparmor.d/bin.ping | sudo apparmor_parser -r

Deactiveer een profiel

 ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/
 apparmor_parser -R /etc/apparmor.d/profile.name

Voorbeeld:

 ln -s /etc/apparmor.d/bin.ping /etc/apparmor.d/disable/
 apparmor_parser -R /etc/apparmor.d/bin.ping

Activeer een profiel

standaard zijn profielen geactiveerd (d.w.z. geladen in de kernel en toegepast op processen).

 rm /etc/apparmor.d/disable/profile.name
 cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a

Voorbeeld:

 rm /etc/apparmor.d/disable/bin.ping
 cat /etc/apparmor.d/bin.ping | sudo apparmor_parser -a

FAQ

apparmor_status rapporteert processen die niet beperkt zijn maar wel een profiel gedefiniëerd hebben

Herstart de weergegeven processen. Het systeem opnieuw starten lost het probleem ook op.

AppArmor kan alleen processen volgen en beschermen die gestart zijn nadat de kernel module geladen is. Nadat het apparmor pakket geïnstalleerd is wordt apparmor gestart. Maar draaiende processen worden niet beschermd door AppArmor. herstarten van de processen of het systeem opnieuw opstarten zal dit probleem oplossen.

Je kan ook een profiel toepassen op een al draaiend proces door het uitvoeren van de volgende opdracht:

sudo sh -c "echo 'setprofile /path/to/bin' > /proc/pid/attr/current"

[[Anchor(newprofile)]]

Aanmaken van een nieuw profiel

Het ontwerpen van een test plan

Bedenk hoe een toepassing uitgevoerd zou moeten worden. Het test plan zou opgedeeld moeten worden in kleine testcases. Elke testcase zou een kleine beschrijving moeten hebben en de te volgen stappen.

Enkele standaard testcases zijn :

start het programma
stop het programma
herlaad het programma
test alle opdrachten ondersteund door het init script

Genereer het nieuwe profiel

Gebruik aa-genprof om een nieuw profiel te genereren.

Gebruik de opdracht aa-genprof in een terminal:

sudo aa-genprof executable

Voorbeeld:

sudo aa-genprof slapd

De man pagina heeft meer informatie: man aa-genprof.

Je nieuwe profiel toevoegen aan het apparmor-profiles pakket

Om je nieuwe profiel toevoegen aan het apparmor-profiles pakket, stuur een bug naar Launchpad AppArmor package:

Voeg je test plan en testcases bij
Voeg je nieuwe profiel toe aan de bug

[[Anchor(updateprofile)]]

Updaten van een profiel

Wanneer programma's zich misdragen worden er berichten naar de logbestanden verzonden. Het programma aa-logprof kan worden gebruikt om logbestanden op AppArmor berichten te scannen, beoordeel ze en update de profielen indien nodig.