Ceci est une ancienne révision du document !
Table des matières
Apparmor
Liens
Description
AppArmor permet à l'administrateur système d'associer à chaque programme un profil de sécurité qui restreint ses accès au système d'exploitation. Il complète le traditionnel modèle d'Unix du contrôle d'accès discrétionnaire (DAC, Discretionary access control) en permettant d'utiliser le contrôle d'accès obligatoire (MAC, Mandatory access control).
Type de permission
- r : Read mode
- w : Write mode (mutually exclusive to a)
- a : Append mode (mutually exclusive to w)
- k : File locking mode
- px : Discrete profile execute mode
- Px : Discrete profile execute mode—clean exec
- ux : Unconstrained execute mode
- Ux : Unconstrained execute mode—clean exec
- ix : Inherit execute mode
- m : Allow PROT_EXEC with mmap(2) calls
- l : Link mode
/profile { /path/to/file* r, # allow read to /path/to/file* /path/to/file1 w, # allow write to /path/to/file1 deny /path/to/file2, w, # deny write to /path/to/file2, without logging audit /path/to/file3 w, # allow write to /path/to/file3, with logging audit deny /path/to/file4 r, # deny read to /path/to/file4, with logging }
Activer apparmor
$ chkconfig boot.apparmor on
$ chkconfig boot.apparmor boot.apparmor on
Commandes
aa-status
Voir le status de apparmor :
$ aa-status
La commande apparmor_status permet de faire la même chose.
aa-enforce
Activer un profile existant, par exemple firefox :
$ aa-enforce firefox
Ou
$ aa-enforce /usr/bin/firefox
Ou charger tous les profils :
$ aa-enforce /etc/apparmor.d/*
aa-complain
Permet de ne pas bloquer les accès mais log toutes les violation de la politique : s'utilise de la même manière que aa-enforce. Par défaut les profils sont en mode enforced.
$ aa-complain firefox
aa-genprof
AppArmor détectera automatiquement les accès faits par l'application, générera le fichier profil approprié et le placera dans le répertoire /etc/apparmor.d
.
aa-autodep
On crée d'abord un profil temporaire à l'aide de la commande aa-autodep.
On laisse tourner le processus à confiner durant le temps nécessaire, puis on corrige le fichier de profil à l'aide des messages laissés dans les fichiers log, grâce à la commande aa-logprof.
Au besoin, on continue à laisser tourner le processus et on relance la commande aa-logprof, jusqu'à ce que le fichier de profil soit adéquat.
On peut alors placer ce fichier en mode enforced
.
aa-logprof
- Pour voir les fichiers que aa-logprof scan :
$ grep logfiles /etc/apparmor/logprof.conf logfiles = /var/log/audit/audit.log /var/log/syslog /var/log/messages
- Ajoute ce qui a été interdit dans les fichiers aux règles adéquates :
$ aa-logprof
- Ajoute ce qui correspond à
17:04:21
aux règles adéquates :
$ aa-logprof -m "17:04:21"
- Ajoute ce qu'il y a dans le fichier gigix :
$ grep firefox /var/log/audit/audit.log > gigix $ aa-logprof -f gigix
apparmor_parser
- Recharger le profile ping :
$ apparmor_parser -r /etc/apparmor.d/bin.ping