AppArmor : プロファイルを作成する : aa-autodep2025/08/17 |
|
[aa-autodep] でプロファイルを新規作成します。 [aa-genprof] と異なる点は、[aa-autodep] では、実行後、空プロファイルを作成して終了し、対象プログラムは [complain] モード管理に入ります。 |
|
| [1] | 例として、[aa-autodep] で Samba のプロファイルを作成します。 |
|
# Samba のプロファイルを作成する root@dlp:~# aa-autodep /usr/sbin/smbd Writing updated profile for /usr/sbin/smbd. # [complain] モード管理に入る root@dlp:~# aa-status apparmor module is loaded. 107 profiles are loaded. 7 profiles are in enforce mode. /usr/bin/man /usr/bin/node lsb_release man_filter man_groff nvidia_modprobe nvidia_modprobe//kmod 24 profiles are in complain mode. /usr/sbin/smbd ..... ..... # 以降は [complain] モードで必要な操作を実行し ロギングしていく # Samba のような複雑なアプリケーションの場合 長期間に渡って [complain] モードで学習要 # ロギングされた内容について順次扱いを決定していく root@dlp:~# aa-logprof Updating AppArmor profiles in /etc/apparmor.d. Reading log entries from /var/log/audit/audit.log. Complain-mode changes: Profile: /usr/sbin/smbd Capability: setuid Severity: 9 [1 - include <abstractions/postfix-common>] 2 - include <abstractions/samba-rpcd> 3 - capability setuid, (A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish Adding include <abstractions/postfix-common> to profile. Profile: /usr/sbin/smbd Capability: net_admin Severity: 8 [1 - capability net_admin,] (A)llow / [(D)eny] / (I)gnore / Audi(t) / Abo(r)t / (F)inish ..... ..... # 最終的には [enforce] モードに移行し アプリケーションを保護する root@dlp:~# aa-enforce /usr/sbin/smbd |
| [2] | なお、プロファイル操作の例として Samba を例示しましたが、Samba のような主要なプログラムについては、あらかじめプロファイルが用意されています。 |
|
root@dlp:~#
root@dlp:~# apt -y install apparmor-profiles dpkg -L apparmor-profiles /. /etc /etc/apparmor.d /etc/apparmor.d/apache2.d /etc/apparmor.d/apache2.d/phpsysinfo /etc/apparmor.d/bin.ping /etc/apparmor.d/local /etc/apparmor.d/php-fpm /etc/apparmor.d/samba-bgqd /etc/apparmor.d/samba-dcerpcd /etc/apparmor.d/samba-rpcd /etc/apparmor.d/samba-rpcd-classic /etc/apparmor.d/samba-rpcd-spoolss /etc/apparmor.d/sbin.klogd ..... .....root@dlp:~# aa-status apparmor module is loaded. 127 profiles are loaded. 8 profiles are in enforce mode. /usr/bin/man /usr/bin/node /usr/sbin/smbd lsb_release man_filter man_groff nvidia_modprobe nvidia_modprobe//kmod 43 profiles are in complain mode. Xorg avahi-daemon dnsmasq dnsmasq//libvirt_leaseshelper identd klogd mdnsd nmbd nscd php-fpm ping plasmashell ..... ..... |
| Sponsored Link |
|
|