Ubuntu 24.04
Sponsored Link

AppArmor : プロファイルを作成する : aa-autodep2024/06/18

 

[aa-autodep] でプロファイルを新規作成します。

[aa-genprof] と異なる点は、[aa-autodep] では、実行後、空プロファイルを作成して終了し、対象プログラムは [complain] モード管理に入ります。

[1] 例として、[aa-autodep] で Samba のプロファイルを作成します。
# Samba のプロファイルを作成する

root@dlp:~#
aa-autodep /usr/sbin/smbd

Writing updated profile for /usr/sbin/smbd.
# [complain] モード管理に入る

root@dlp:~#
aa-status


.....
.....

3 processes are unconfined but have a profile defined.
   /usr/sbin/smbd (8492)
   /usr/sbin/smbd (8496)
   /usr/sbin/smbd (8497)

.....
.....

# 以降は [complain] モードで必要な操作を実行し ロギングしていく
# Samba のような複雑なアプリケーションの場合 長期間に渡って [complain] モードで学習要

# ロギングされた内容について順次扱いを決定していく

root@dlp:~#
aa-logprof

Updating AppArmor profiles in /etc/apparmor.d.
Reading log entries from /var/log/syslog.
Complain-mode changes:

Profile:  /usr/sbin/smbd
Path:     /var/log/samba/log.smbd
New Mode: owner w
Severity: 8

 [1 - include <abstractions/samba>]
  2 - owner /var/log/samba/log.smbd w,
(A)llow / [(D)eny] / (I)gnore / (G)lob / Glob with (E)xtension / (N)ew / Audi(t) / (O)wner permissions off / Abo(r)t / (F)inish
Adding include <abstractions/samba> to profile.

Profile:        /usr/sbin/smbd
Network Family: netlink
Socket Type:    raw

 [1 - include <abstractions/nameservice>]
  2 - network netlink raw,
(A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish

.....
.....

# 最終的には [enforce] モードに移行し アプリケーションを保護する

root@dlp:~#
aa-enforce /usr/sbin/smbd

[2] なお、プロファイル操作の例として Samba を例示しましたが、Samba のような主要なプログラムについては、あらかじめプロファイルが用意されています。
root@dlp:~#
apt -y install apparmor-profiles
root@dlp:~#
dpkg -L apparmor-profiles

/.
/etc
/etc/apparmor.d
/etc/apparmor.d/apache2.d
/etc/apparmor.d/apache2.d/phpsysinfo
/etc/apparmor.d/bin.ping
/etc/apparmor.d/local
/etc/apparmor.d/php-fpm
/etc/apparmor.d/samba-bgqd
/etc/apparmor.d/samba-dcerpcd
/etc/apparmor.d/samba-rpcd
/etc/apparmor.d/samba-rpcd-classic
/etc/apparmor.d/samba-rpcd-spoolss
/etc/apparmor.d/sbin.klogd
/etc/apparmor.d/sbin.syslog-ng
/etc/apparmor.d/sbin.syslogd
/etc/apparmor.d/usr.sbin.avahi-daemon
/etc/apparmor.d/usr.sbin.dnsmasq
/etc/apparmor.d/usr.sbin.identd
/etc/apparmor.d/usr.sbin.mdnsd
/etc/apparmor.d/usr.sbin.nmbd
/etc/apparmor.d/usr.sbin.nscd
/etc/apparmor.d/usr.sbin.smbd
/etc/apparmor.d/usr.sbin.smbldap-useradd
/etc/apparmor.d/usr.sbin.traceroute
/usr
/usr/share
/usr/share/apparmor
/usr/share/apparmor/extra-profiles
.....
.....

root@dlp:~#
aa-status

135 profiles are loaded.
45 profiles are in enforce mode.
   /usr/bin/man
   /usr/bin/node
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   avahi-daemon
   dnsmasq
   dnsmasq//libvirt_leaseshelper
   identd
   klogd
   lsb_release
   man_filter
   man_groff
   mdnsd
   nmbd
   nscd
   nvidia_modprobe
   nvidia_modprobe//kmod
   php-fpm
   ping
.....
.....
関連コンテンツ