AppArmor : プロファイルを作成する : aa-autodep2024/06/18 |
|
[aa-autodep] でプロファイルを新規作成します。 [aa-genprof] と異なる点は、[aa-autodep] では、実行後、空プロファイルを作成して終了し、対象プログラムは [complain] モード管理に入ります。 |
|
| [1] | 例として、[aa-autodep] で Samba のプロファイルを作成します。 |
|
# Samba のプロファイルを作成する root@dlp:~# aa-autodep /usr/sbin/smbd Writing updated profile for /usr/sbin/smbd. # [complain] モード管理に入る root@dlp:~# aa-status ..... ..... 3 processes are unconfined but have a profile defined. /usr/sbin/smbd (8492) /usr/sbin/smbd (8496) /usr/sbin/smbd (8497) ..... ..... # 以降は [complain] モードで必要な操作を実行し ロギングしていく # Samba のような複雑なアプリケーションの場合 長期間に渡って [complain] モードで学習要 # ロギングされた内容について順次扱いを決定していく root@dlp:~# aa-logprof Updating AppArmor profiles in /etc/apparmor.d. Reading log entries from /var/log/syslog. Complain-mode changes: Profile: /usr/sbin/smbd Path: /var/log/samba/log.smbd New Mode: owner w Severity: 8 [1 - include <abstractions/samba>] 2 - owner /var/log/samba/log.smbd w, (A)llow / [(D)eny] / (I)gnore / (G)lob / Glob with (E)xtension / (N)ew / Audi(t) / (O)wner permissions off / Abo(r)t / (F)inish Adding include <abstractions/samba> to profile. Profile: /usr/sbin/smbd Network Family: netlink Socket Type: raw [1 - include <abstractions/nameservice>] 2 - network netlink raw, (A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish ..... ..... # 最終的には [enforce] モードに移行し アプリケーションを保護する root@dlp:~# aa-enforce /usr/sbin/smbd |
| [2] | なお、プロファイル操作の例として Samba を例示しましたが、Samba のような主要なプログラムについては、あらかじめプロファイルが用意されています。 |
|
root@dlp:~#
root@dlp:~# apt -y install apparmor-profiles dpkg -L apparmor-profiles /. /etc /etc/apparmor.d /etc/apparmor.d/apache2.d /etc/apparmor.d/apache2.d/phpsysinfo /etc/apparmor.d/bin.ping /etc/apparmor.d/local /etc/apparmor.d/php-fpm /etc/apparmor.d/samba-bgqd /etc/apparmor.d/samba-dcerpcd /etc/apparmor.d/samba-rpcd /etc/apparmor.d/samba-rpcd-classic /etc/apparmor.d/samba-rpcd-spoolss /etc/apparmor.d/sbin.klogd /etc/apparmor.d/sbin.syslog-ng /etc/apparmor.d/sbin.syslogd /etc/apparmor.d/usr.sbin.avahi-daemon /etc/apparmor.d/usr.sbin.dnsmasq /etc/apparmor.d/usr.sbin.identd /etc/apparmor.d/usr.sbin.mdnsd /etc/apparmor.d/usr.sbin.nmbd /etc/apparmor.d/usr.sbin.nscd /etc/apparmor.d/usr.sbin.smbd /etc/apparmor.d/usr.sbin.smbldap-useradd /etc/apparmor.d/usr.sbin.traceroute /usr /usr/share /usr/share/apparmor /usr/share/apparmor/extra-profiles ..... .....root@dlp:~# aa-status 135 profiles are loaded. 45 profiles are in enforce mode. /usr/bin/man /usr/bin/node /usr/lib/snapd/snap-confine /usr/lib/snapd/snap-confine//mount-namespace-capture-helper avahi-daemon dnsmasq dnsmasq//libvirt_leaseshelper identd klogd lsb_release man_filter man_groff mdnsd nmbd nscd nvidia_modprobe nvidia_modprobe//kmod php-fpm ping ..... ..... |
| Sponsored Link |