3.4 Erstellen von Novell AppArmor-Profilen mit der - Index of

Novell AppArmor 

2.0 

07.04.2006 Administrationshandbuch 

www.novell.com

Novell AppArmor 2.0-Administrationshandbuch 

Autorenliste: Leona Beatrice Campbell, Jana Jaeger 

Diese Veröffentlichung ist das geistige Eigentum von Novell, Inc. 

Ihr Inhalt darf ganz oder teilweise dupliziert werden, sofern jede Kopie einen sichtbaren Copyright- 

Hinweis trägt. 

Alle Informationen in diesem Buch wurden mit größter Sorgfalt zusammengestellt. Doch auch dadurch 

kann hundertprozentige Richtigkeit nicht gewährleistet werden. Weder SUSE LINUX GmbH noch 

die Autoren noch die Übersetzer können für mögliche Fehler und deren Folgen haftbar gemacht 

werden. 

Novell, das Novell-Logo, das N-Logo und SUSE sind eingetragene Marken von Novell, Inc., in den 

Vereinigten Staaten und anderen Ländern. * Linux ist eine eingetragene Marke von Linus Torvalds. 

Alle anderen Drittanbieter-Marken sind das Eigentum der jeweiligen Inhaber. 

Vorschläge und Kommentare richten Sie bitte an documentation@suse.de.

Inhaltsverzeichnis 

Über dieses Handbuch v 

1 Immunisieren von Programmen 9 

2 Auswählen zu immunisierender Programme 11 

2.1 Immunisieren von Programmen, die Berechtigungen gewähren . . . . . 11 

2.2 Inspizieren offener Ports zur Immunisierung von Programmen . . . . . . 12 

3 Erstellen von Novell AppArmor-Profilen 19 

3.1 Profilkomponenten und Syntax . . . . . . . . . . . . . . . . . . . 19 

3.2 Erstellen und Verwalten von Novell AppArmor-Profilen . . . . . . . . . 22 

3.3 Erstellen von Novell AppArmor-Profilen in der YaST-GUI . . . . . . . . 24 

3.4 Erstellen von Novell AppArmor-Profilen mit der Befehlszeilenschnittstelle . 49 

3.5 Zwei Methoden der Profilerstellung . . . . . . . . . . . . . . . . . 54 

3.6 Pfadnamen und Platzhalter . . . . . . . . . . . . . . . . . . . . . 76 

3.7 Modi für Dateizugriffsberechtigungen . . . . . . . . . . . . . . . . 77 

4 Verwalten von Anwendungen mit Profilen 81 

4.1 Überwachen Ihrer geschützten Anwendungen . . . . . . . . . . . . . 81 

4.2 Einrichten der Ereignisbenachrichtigung . . . . . . . . . . . . . . . 82 

4.3 Berichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 

4.4 Reaktion auf Sicherheitsereignisse . . . . . . . . . . . . . . . . . 108 

4.5 Pflegen Ihrer Sicherheitsprofile . . . . . . . . . . . . . . . . . . . 109

5 Erstellen von Profilen für Ihre Webanwendungen mit ChangeHat Apache 

113 

5.1 Apache ChangeHat . . . . . . . . . . . . . . . . . . . . . . . . 114 

5.2 Apache-Konfiguration für mod-apparmor . . . . . . . . . . . . . . 122 

6 Unterstützung 125 

6.1 Online-Aktualisierung von Novell AppArmor . . . . . . . . . . . . . 125 

6.2 Verwenden der Manualpages . . . . . . . . . . . . . . . . . . . 125 

6.3 Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . 127 

6.4 Fehlerbehebung . . . . . . . . . . . . . . . . . . . . . . . . . 128 

6.5 Melden von Programmfehlern für AppArmor . . . . . . . . . . . . . 130 

Glossar 133

Über dieses Handbuch 

Novell® AppArmor bietet Anwendungssicherheit mit hohem Bedienungskomfort für 

Server und Arbeitsstationen. Novell AppArmor ist ein System zur Zugriffskontrolle, 

in dem Sie für jedes einzelne Programm angeben können, welche Dateien es lesen, 

schreiben und ausführen darf. AppArmor schützt Anwendungen durch das Erzwingen 

von zuverlässigem Anwendungsverhalten, ohne dass es sich auf Angriffssignaturen 

verlässt. Daher kann es Angriffe verhindern, selbst wenn diese bisher unbekannte 

Schwachstellen nutzen. 

Novell AppArmor besteht aus: 

• Bibliothek von AppArmor-Profilen für gängige Linux*-Anwendungen, die 

beschreiben, auf welche Dateien das Programm zugreifen muss. 

• Bibliothek von AppArmor-Profilbasisklassen (Profilbausteine), die für gängige 

Anwendungsaktivitäten wie DNS-Lookup und Benutzerauthentifizierung erforderlich 

sind. 

• Eine Programm-Suite zur Entwicklung und Erweiterung von AppArmor-Profilen, 

damit Sie die bestehenden Profile an Ihre Anforderungen anpassen und neue Profile 

für Ihre eigenen lokalen und benutzerdefinierten Anwendungen erstellen können. 

• Mehrere speziell angepasste Anwendungen, die AppArmor-fähig sind, um erweiterte 

Sicherheit in Form von einzigartiger Einschränkung von Unterprozessen, 

einschließlich Apache, zu bieten. 

• Das ladbare Novell AppArmor-Kernel-Modul und zugehörige Steuerungsskripts 

zur Durchsetzung von AppArmor-Richtlinien auf Ihrem SUSE® Linux-System. 

In diesem Handbuch werden folgende Themen beschrieben: 

Immunisieren von Programmen 

Beschreibt den Betrieb von Novell AppArmor. 

Auswählen zu immunisierender Programme 

Beschreibt die Programmtypen, für die Novell AppArmor-Profile erstellt werden 

sollten.

Erstellen von Novell AppArmor-Profilen 

Beschreibt die Verwendung der Novell AppArmor-Werkzeuge zur Immunisierung 

Ihrer eigenen Programme und von Drittanbieterprogrammen, die eventuell auf 

Ihrem SUSE Linux-System installiert sind. Hilft Ihnen auch beim Hinzufügen, 

Bearbeiten oder Löschen von Profilen, die für Ihre Anwendungen erstellt wurden. 

Verwalten von Anwendungen mit Profilen 

Beschreibt die Novell AppArmor-Profilwartung, bei der Sie häufige Probleme 

ermitteln können. 

Erstellen von Profilen für Ihre Webanwendungen mit ChangeHat Apache 

Ermöglicht Ihnen die Erstellung von Unterprofilen für den Apache-Webserver, mit 

deren Hilfe Sie kleine Abschnitte der Web-Anwendungsverarbeitung stark einschränken 

können. 

Unterstützung 

Führt Support-Optionen für dieses Produkt auf. 

Glossar 

Bietet eine Liste von Begriffen und deren Definitionen. 

1 Feedback 

Wir würden uns über Ihre Kommentare und Vorschläge zu diesem Handbuch und 

anderen zu diesem Produkt gehörenden Dokumentationen freuen. Bitte verwenden Sie 

die Funktion „Benutzerkommentare“ unten auf den einzelnen Seiten der Online- 

Dokumentation und geben Sie dort Ihre Kommentare ein. 

2 Konventionen in der 

Dokumentation 

In diesem Handbuch werden folgende typografische Konventionen verwendet: 

• /etc/passwd: Datei- und Verzeichnisnamen 

• Platzhalter: Ersetzen Sie Platzhalter durch den tatsächlichen Wert. 

vi Novell AppArmor 2.0-Administrationshandbuch

• PATH: die Umgebungsvariable PATH 

• ls, --help: Befehle, Optionen und Parameter 

• user: Benutzer oder Gruppen 

• Alt , Alt + F1 : Eine Taste oder Tastenkombination; Tastennamen werden wie 

auf der Tastatur in Großbuchstaben dargestellt 

• Datei, Datei → Speichern unter: Menüelemente, Schaltflächen 

• Tanzende Pinguine (Kapitel „Pinguine“, ↑Verweis): Dies ist ein Verweis auf ein 

Kapitel in einem anderen Buch. 

Über dieses Handbuch vii

Immunisieren von Programmen 

Novell® AppArmor bietet Immunisierungstechniken, die SUSE Linux-Anwendungen 

vor inhärenten Risiken schützen. Nach dem Installieren von Novell AppArmor, Einrichten 

von Novell AppArmor-Profilen und Neustarten des Computers ist Ihr System 

immunisiert, da es beginnt, die Novell AppArmor-Sicherheitsrichtlinien durchzusetzen. 

Der Schutz von Programmen mithilfe von Novell AppArmor wird als Immunisieren 

bezeichnet. 

Novell AppArmor richtet eine Sammlung von Standardanwendungsprofilen ein, um 

Linux-Standarddienste zu schützen. Um andere Anwendungen zu schützen, verwenden 

Sie die Novell AppArmor-Werkzeuge zum Erstellen von Profilen für diese Anwendungen. 

Dieses Kapitel stellt Ihnen die Philosophie der Immunisierung von Programmen 

vor. Fahren Sie mit Kapitel 3, Erstellen von Novell AppArmor-Profilen (S. 19) fort, 

wenn Sie bereit sind, Novell AppArmor-Profile zu erstellen und zu verwalten. 

Novell AppArmor bietet eine optimierte Zugriffskontrolle für Netzwerkdienste durch 

die Angabe der Dateien, die jedes Programm lesen, schreiben und ausführen darf. Damit 

wird sichergestellt, dass jedes Programm ausschließlich die beabsichtigten Aktionen 

ausführt. 

Novell AppArmor verhindert unbefugten Zugriff auf den Host und ist ein obligatorisches 

Zugriffskontrollschema, das für Server optimiert ist. Früher konzentrierten sich Zugriffskontrollschemata 

auf Benutzer, da sie für große Teilzeitsysteme erstellt wurden. Alternativ 

untersagen moderne Netzwerkserver weithin, dass sich Benutzer anmelden, sondern 

bieten den Benutzern eine Vielzahl von Netzwerkdiensten wie Web, Mail, Dateiserver 

und Drucken. Novell AppArmor steuert diesen Zugriff auf Netzwerkdienste und andere 

Programme, um die Ausnutzung von Schwachstellen zu verhindern. 

1 

Immunisieren von Programmen 9

Auswählen zu immunisierender 

Programme 

Novell® AppArmor setzt Programme unter Quarantäne, um das übrige System vor 

Schäden durch einen gefährdeten Prozess zu schützen. Sie sollten Ihre Ports inspizieren, 

um zu sehen, welche Programme ein Profil erhalten sollten (siehe Abschnitt 2.2, 

„Inspizieren offener Ports zur Immunisierung von Programmen“ (S. 12)), und Profile 

für alle Programme erstellen, die Berechtigungen gewähren (Abschnitt 2.1, „Immunisieren 

von Programmen, die Berechtigungen gewähren“ (S. 11)). 

2.1 Immunisieren von Programmen, 

die Berechtigungen gewähren 

Programme, die Profile brauchen, sind solche, die Berechtigungen vermitteln. Die folgenden 

Programme haben abweichend von der Person, welche das Programm benutzt, 

Zugriff auf Ressourcen, d. h.. sie gewähren dem Benutzer bei ihrer Verwendung die 

Berechtigung: 

Cron-Jobs 

Programme die regelmäßig durch cron ausgeführt werden. Solche Programme lesen 

Eingaben von einer Vielzahl von Quellen und können mit speziellen Berechtigungen 

laufen, manchmal sogar mit root-Berechtigung. Beispiel: cron kann 

/usr/bin/updatedb täglich ausführen, um die locate-Datenbank auf dem 

neuesten Stand zu halten, und verfügt über genügend Berechtigungen, um den 

Namen jeder Datei im System zu lesen. Anleitungen zum Auffinden dieser Art von 

Programmen erhalten Sie unter Abschnitt 2.2.1, „Immunisieren von Cron-Jobs“ 

(S. 14). 

2 

Auswählen zu immunisierender Programme 11

Webanwendungen 

Programme, die sich durch einen Webbrowser aufrufen lassen, einschließlich CGI- 

Skripts in Perl, PHP-Seiten und komplexere Webanwendungen. Anleitungen zum 

Auffinden dieser Art von Programmen erhalten Sie unter Abschnitt 2.2.2, „Immunisieren 

von Webanwendungen“ (S. 15). 

Netzwerkagenten 

Programme (Server und Clients) mit offenen Netzwerkports. Überraschenderweise 

vermitteln Benutzerclients wie Mail-Clients und Webbrowser Berechtigungen. 

Diese Programme werden mit der Berechtigung ausgeführt, in die Stammverzeichnisse 

des Benutzers zu schreiben, und sie verarbeiten Eingaben von potenziell 

feindseligen entfernten Quellen, wie feindseligen Websites und per E-Mail gesendeten 

bösartigen Code. Anleitungen zum Auffinden dieser Art von Programmen 

erhalten Sie unter Abschnitt 2.2.3, „Immunisieren von Netzwerkagenten“ (S. 17). 

Umgekehrt brauchen unprivilegierte Programme keine Profile. Beispiel: Ein Shellskript 

kann das Programm cp aufrufen, um eine Datei zu kopieren. Da cp über kein eigenes 

Profil verfügt, erbt es das Profil des übergeordneten Shell-Skripts und kann daher alle 

Dateien kopieren, die das Profil des übergeordneten Shell-Skripts lesen und schreiben 

kann. 

2.2 Inspizieren offener Ports zur 

Immunisierung von Programmen 

Eine automatisierte Methode zum Auffinden von Netzwerkserver-Daemons, für die 

ein Profil erstellt werden sollte, ist der Einsatz des Werkzeugs unconfined. Sie können 

auch einfach einen Bericht dieser Informationen in der grafischen YaST-Benutzeroberfläche 

ansehen. (Anweisungen finden Sie in „Anwendungsprüfbericht“ (S. 92).) 

Das Werkzeug unconfined verwendet den Befehl netstat -nlp, um Ihre offenen 

Ports vom Computer aus zu inspizieren, die mit diesen Ports verbundenen Programme 

zu ermitteln und den geladenen Novell AppArmor-Profilsatz zu prüfen. Unconfined 

meldet dann diese Programme zusammen mit dem Novell AppArmor-Profil, das mit 

jedem Programm verbunden ist, oder es meldet „none“, wenn das Programm nicht 

eingeschränkt ist. 

12 Novell AppArmor 2.0-Administrationshandbuch

ANMERKUNG 

Wenn Sie ein neues Profil für ein Programm erstellen, müssen Sie das Programm 

neu starten, damit unconfined den neuen Status mit Profil erkennen und melden 

kann. 

Beispiel einer Ausgabe von unconfined: 

2325 /sbin/portmap not confined 

3702❶ /usr/sbin/sshd❷ confined 

by '/usr/sbin/sshd❸ (enforce)' 

4040 /usr/sbin/ntpd confined by '/usr/sbin/ntpd (enforce)' 

4373 /usr/lib/postfix/master confined by '/usr/lib/postfix/master (enforce)' 

4505 /usr/sbin/httpd2-prefork confined by '/usr/sbin/httpd2-prefork (enforce)' 

5274 /sbin/dhcpcd not confined 

5592 /usr/bin/ssh not confined 

7146 /usr/sbin/cupsd confined by '/usr/sbin/cupsd (complain)' 

❶ Der erste Teil ist eine Zahl. Diese Zahl ist die Prozess-ID-Nummer (PID) des 

lauschenden Programms. 

❷ Der zweite Teil ist eine Zeichenfolge, die den absoluten Pfad des lauschenden 

Programms angibt. 

❸ Der letzte Teil gibt das Profil an, welches das Programm einschränkt, falls vorhanden. 

ANMERKUNG 

Unconfined benötigt root-Berechtigungen und sollte nicht von einer Shell 

ausgeführt werden, die durch ein AppArmor-Profil eingeschränkt ist. 

Unconfined unterscheidet nicht zwischen Netzwerkschnittstellen, daher meldet es alle 

uneingeschränkten Prozesse, selbst diejenigen, die an einer internen LAN-Schnittstelle 

lauschen. 

Das Auffinden von Netzwerk-Client-Benutzeranwendungen hängt von Ihren Benutzereinstellungen 

ab. Das Werkzeug unconfined erkennt und meldet Netzwerkports, die 

von Client-Anwendungen geöffnet wurden, allerdings nur die Client-Anwendungen, 

die während der unconfined-Analyse ausgeführt werden. Dies ist ein Problem, da 

Netzwerkdienste eher ständig laufen, während Netzwerk-Client-Anwendungen nur 

dann ausgeführt werden, wenn sie den Benutzer interessieren. 


Das Übernehmen von Novell AppArmor-Profilen für Netzwerk-Client-Benutzeranwendungen 

hängt auch von Benutzereinstellungen ab und Novell AppArmor ist eher für 

Server als für Arbeitsstationen konzipiert. Daher überlassen wir die Profilerstellung 

von Netzwerk-Client-Benutzeranwendungen dem Benutzer. 

Für die aggressive Einschränkung von Desktop-Anwendungen unterstützt der Befehl 

unconfined die Option "Paranoid", die alle laufenden Prozesse und die entsprechenden 

AppArmor-Profile meldet, die eventuell mit jedem Prozess verbunden sein können. 

Der nicht eingeschränkte Benutzer kann dann entscheiden, ob jedes dieser Programme 

ein AppArmor-Profil benötigt. 

Wenn Sie über neue oder geänderte Profile verfügen, können Sie sie zur Mailingliste 

apparmor-general@forge.novell.com hinzufügen und jeweils einen 

Anwendungsfall für das ausgeübte Anwendungsverhalten angeben. Das AppArmor- 

Team überprüft die Arbeit und übermittelt sie eventuell an openSUSE. Wir können 

nicht garantieren, dass alle Profile aufgenommen werden, aber wir bemühen uns nach 

Kräften, so viele wie möglich aufzunehmen, sodass die Endbenutzer zu den Sicherheitsprofilen 

in openSUSE beitragen können. 

2.2.1 Immunisieren von Cron-Jobs 

Für das Auffinden von Programmen, die von cron ausgeführt werden, müssen Sie Ihre 

lokale cron-Konfiguration prüfen. Leider ist die cron-Konfiguration ziemlich komplex, 

daher sind zahlreiche Dateien zu inspizieren. Regelmäßige Cron-Jobs werden von den 

folgenden Dateien ausgeführt: 

/etc/crontab 

/etc/cron.d/* 

/etc/cron.daily/* 

/etc/cron.hourly/* 

/etc/cron.monthly/* 

/etc/cron.weekly/* 

Für die Cron-Jobs von root können Sie die Aufgaben mit crontab -e bearbeiten 

und die Cron-Aufgaben von root mit crontab -l auflisten. Sie müssen root-Benutzer 

sein, damit diese Befehle funktionieren. 

Sobald Sie diese Programme gefunden haben, können Sie den Assistenten zum Hinzufügen 

von Profilen verwenden, um Profile für sie zu erstellen. Informationen finden 

Sie unter Abschnitt 3.3.1, „Hinzufügen eines Profils mit dem Assistenten“ (S. 26). 


2.2.2 Immunisieren von Webanwendungen 

Zum Auffinden von Webanwendungen sollten Sie Ihre Webserver-Konfiguration 

untersuchen. Der Apache-Webserver ist stark konfigurierbar und Webanwendungen 

können abhängig von Ihrer lokalen Konfiguration in vielen Verzeichnissen gespeichert 

sein. Standardmäßig speichert SUSE Linux Webanwendungen unter /srv/www/ 

cgi-bin/. Soweit irgend möglich, sollte jede Webanwendung durch ein Novell 

AppArmor-Profil abgesichert werden. 

Sobald Sie diese Programme gefunden haben, können Sie den AppArmor-Assistenten 

zum Hinzufügen von Profilen verwenden, um Profile für sie zu erstellen. Informationen 

finden Sie unter Abschnitt 3.3.1, „Hinzufügen eines Profils mit dem Assistenten“ 

(S. 26). 

Einschränkung von CGI-Programmen und 

Unterprozessen in Webanwendungen 

Da CGI-Programme vom Apache-Webserver ausgeführt werden, muss das Profil für 

Apache usr.sbin.httpd2-prefork (für Apache2 unter SUSE Linux) geändert 

werden, um Ausführungsberechtigungen für jedes dieser Programme hinzuzufügen. 

Beispiel: Das Hinzufügen der Zeile /srv/www/cgi-bin/my_hit_counter.pl 

rpx gibt Apache die Berechtigung, das Perl-Skript my_hit_counter.pl auszuführen, 

und verlangt, dass ein eigenes Profil für my_hit_counter.pl vorhanden ist. 

Wenn mit my_hit_counter.pl kein eigenes Profil verbunden ist, sollte die Regel 

/srv/www/cgi-bin/my_hit_counter.pl rix lauten, damit my_hit 

_counter.pl das Profil usr.sbin.httpd2-prefork erbt. 

Einige Benutzer finden es eventuell unbequem, für jedes CGI-Skript, das Apache aufrufen 

könnte, Ausführungsberechtigungen anzugeben. Stattdessen kann der Administrator 

kontrollierten Zugriff auf Sammlungen von CGI-Skripts gewähren. Beispiel: 

Durch Hinzufügen der Zeile /srv/www/cgi-bin/*.{pl,py,pyc} rix kann 

Apache alle Dateien in /srv/www/cgi-bin/ ausführen, die auf .pl (Perl-Skripts) 

und .py oder .pyc (Python-Skripts) enden. Der ix-Teil der Regel sorgt dafür, dass 

die Python-Skripts das Apache-Profil erben, das geeignet ist, wenn Sie nicht für jedes 

Python-Skript ein eigenes Profil schreiben möchten. 


ANMERKUNG 

Wenn Sie die Funktionalität des Moduls zur Einschränkung von Unterprozessen 

(mod-apparmor) bei der Verwendung von Apache-Modulen (mod_perl und 

mod_php) durch Webanwendungen wünschen, benutzen Sie beim Hinzufügen 

eines Profils in YaST oder an der Befehlszeile die ChangeHat-Funktionen. Wie 

Sie die Einschränkung von Unterprozessen nutzen können, erfahren Sie unter 

Abschnitt 5.1, „Apache ChangeHat“ (S. 114). 

Die Profilerstellung für Webanwendungen, die mod_perl und mod_php verwenden, 

erfordert eine geringfügig andere Vorgehensweise. In diesem Fall ist das „Programm“ 

ein Skript, das direkt durch das Modul im Apache-Prozess interpretiert wird, daher 

findet kein exec-Systemaufruf statt. Stattdessen ruft die Novell AppArmor-Version von 

Apache change_hat() auf und gibt ein Unterprofil an (einen „Hat“), das dem Namen 

des angeforderten URI entspricht. 

ANMERKUNG 

Der Name, den das auszuführende Skript erhält, ist eventuell nicht der URI, 

abhängig davon, wie Apache für die Suche nach Modulskripts konfiguriert 

wurde. Falls Sie Apache so konfiguriert haben, dass Skripts an einer anderen 

Stelle abgelegt werden, werden die anderen Namen im Syslog angezeigt, wenn 

Novell AppArmor Zugriffsverletzungen meldet. Siehe Kapitel 4, Verwalten von 

Anwendungen mit Profilen (S. 81). 

Für mod_perl- und mod_php-Skripts ist dies der Name des angeforderten Perl- 

Skripts bzw. der angeforderten PHP-Seite. Beispiel: Durch Hinzufügen dieses Unterprofils 

kann die Seite localtime.php ausgeführt werden und auf die lokale Systemzeit 

zugreifen: 

/usr/sbin/httpd2-prefork^/cgi-bin 

localtime.php { 

/etc/localtime r, 

/srv/www/cgi-bin/localtime.php r, 

/usr/lib/locale/** r, 

} 

Falls kein Unterprofil definiert wurde, wendet die Novell AppArmor-Version von 

Apache den Hat DEFAULT_URI an. Dieses Unterprofil genügt im Prinzip, um eine 

HTML-Webseite anzuzeigen. Der Hat DEFAULT_URI, den Novell AppArmor standardmäßig 

zur Verfügung stellt: 


usr/sbin/suexec2 ixr, 

/var/log/apache2/** rwl, 

/home/*/public_html/** r, 

/srv/www/htdocs/** r, 

/srv/www/icons/*.{gif,jpg,png} r, 

/usr/share/apache2/** r, 

Wenn Sie ein einziges Novell AppArmor-Profil für alle Webseiten und CGI-Skripts 

wünschen, die Apache bereitstellt, ist es eine gute Lösung, das 

DEFAULT_URI-Unterprofil zu bearbeiten. 

2.2.3 Immunisieren von Netzwerkagenten 

Für das Auffinden von Netzwerkserver-Daemons, für die ein Profil erstellt werden 

sollte, prüfen Sie die offenen Ports auf Ihrem Rechner, beachten Sie die Programme, 

die auf diesen Ports reagieren, und stellen Sie Profile für möglichst viele dieser Programme 

zur Verfügung. Wenn Sie Profile für alle Programme mit offenen Netzwerkports 

bereitstellen, kann ein Angreifer nicht in das Dateisystem auf Ihrem Rechner gelangen, 

ohne eine Novell AppArmor-Profilrichtlinie zu durchlaufen. 

Prüfen Sie Ihren Server manuell auf offene Netzwerkports von außerhalb des Rechners 

mithilfe eines Scanners wie nmap oder von innerhalb des Rechners mithilfe von netstat. 

Inspizieren Sie dann den Rechner, um zu bestimmen, welche Programme auf den entdeckten 

offenen Ports antworten. 


Erstellen von Novell 

AppArmor-Profilen 

Dieses Kapitel erläutert, wie Novell® AppArmor-Profile erstellt und verwaltet werden. 

Die Erstellung von Novell AppArmor-Profilen kann beginnen, sobald die Programme 

für die Profilerstellung ausgewählt sind. Hilfe dazu erhalten Sie unter Kapitel 2, Auswählen 

zu immunisierender Programme (S. 11). 

3.1 Profilkomponenten und Syntax 

Dieser Abschnitt beschreibt die Syntax oder den Aufbau von Novell AppArmor-Profilen. 

Unter Abschnitt 3.1.1, „Zerlegen eines Novell AppArmor-Profils in seine Teile“ (S. 19) 

wird ein Beispiel für diese Syntax angegeben. 

3.1.1 Zerlegen eines Novell 

AppArmor-Profils in seine Teile 

Novell AppArmor-Profilkomponenten werden Novell AppArmor-Regeln genannt. 

Derzeit gibt es zwei Haupttypen von Novell AppArmor-Regeln: Pfadeinträge und 

Funktionseinträge. Pfadeinträge geben an, worauf der Prozess im Dateisystem zugreifen 

kann. Funktionseinträge bieten eine präzisere Kontrolle darüber, welche Aktionen ein 

eingeschränkter Prozess durch andere Systemaufrufe, die Berechtigungen erfordern, 

ausführen darf. Inbegriffen sind eine Art Metaregel oder Direktiven, die Pfad- und 

Funktionseinträge von anderen Dateien abrufen. 

3 

Erstellen von Novell AppArmor-Profilen 19

Am einfachsten lässt sich anhand eines Beispiels erklären, woraus ein Profil besteht 

und wie ein Profil erstellt wird. Betrachten Sie das folgende Profil für das Programm 

/sbin/klogd: 

# profile to confine klogd❶ 

/sbin/klogd ❷ 

{❸ 

#include ❹ 

capability sys_admin,❺ 

/boot/* r❻, 

/proc/kmsg r, 

/sbin/klogd r, 

/var/run/klogd.pid lw, 

} 

❶ Ein Kommentar, der das Programm angibt, das durch dieses Profil eingeschränkt 

wird. Kommentaren wird immer das #-Zeichen vorangestellt. 

❷ Der absolute Pfad zu dem Programm, das eingeschränkt ist. 

❸ Die geschweiften Klammern {} dienen als Behälter für Include-Anweisungen 

von anderen Profilen sowie für Pfad- und Funktionseinträge. 

❹ Diese Direktive ruft Komponenten von Novell AppArmor-Profilen ab, um Profile 

zu vereinfachen. 

❺ Funktionseintragsanweisungen aktivieren jede der 29 Funktionen im POSIX.1e- 

Entwurf. 

❻ Ein Pfadeintrag, der angibt, auf welche Bereiche des Dateisystems das Programm 

zugreifen kann. Der erste Pfad eines Pfadeintrags gibt den absoluten Pfad einer 

Datei an (einschließlich der Verwendung von Platzhaltern in regulären Ausdrücken) 

und der zweite Teil die zulässigen Zugriffsmodi (r für Lesen, w für Schreiben 

und x für Ausführen). Ein beliebiger Abstand (Leerzeichen oder Tabulatoren) 

kann Pfadnamen vorangehen oder den Pfadnamen von den Zugriffsmodi trennen. 

Ein Abstand zwischen dem Zugriffsmodus und dem nachgestellten Komma ist 

optional. 

Wenn ein Profil für ein Programm erstellt wird, kann das Programm nur auf die Dateien, 

Modi und POSIX-Funktionen zugreifen, die im Profil festgelegt sind. Diese 

Beschränkungen gelten zusätzlich zu den nativen Linux-Zugriffskontrollen. 

Beispiel: Um die Funktion CAP_CHOWN zu erhalten, muss das Programm auf 

CAP_CHOWN unter konventionellen Linux-Zugriffskontrollen zugreifen können (typischerweise 

ein root-eigener Prozess sein) und gleichzeitig die Funktion chown in seinem 


Profil haben. Ebenso muss das Programm für das Schreiben in die Datei /foo/bar 

die korrekte Benutzer-ID und Modusbits in den Datei-Attributen eingestellt haben 

(siehe die Manualpages chmod und chown) sowie /foo/bar w in seinem Profil 

haben. 

Versuche, die Novell AppArmor-Regeln zu verletzen, werden im Syslog aufgezeichnet. 

In vielen Fällen verhindern Novell AppArmor-Regeln einen erfolgreichen Angriff, da 

erforderliche Dateien nicht verfügbar sind und Novell AppArmor-Einschränkungen in 

allen Fällen den Schaden begrenzen, den der Angreifer an dem von Novell AppArmor 

zugelassenen Satz an Dateien anrichten kann. 

3.1.2 #include 

#include-Anweisungen sind Direktiven, die Komponenten von anderen Novell 

AppArmor-Profilen abrufen, um Profile zu vereinfachen. Include-Dateien rufen Zugriffsberechtigungen 

für Programme ab. Durch Verwenden einer include-Anweisung 

können Sie dem Programm Zugriff auf Verzeichnispfade oder Dateien geben, die auch 

von anderen Programmen benötigt werden. Mithilfe von include-Anweisungen lässt 

sich die Größe eines Profils verringern. 

Standardmäßig wird die /etc/apparmor.d/ von der #include-Anweisung am 

Anfang des Pfadnamens hinzugefügt, da davon ausgegangen wird, dass sich die include- 

Datei an dieser Stelle befindet. Im Unterschied zu anderen Profilanweisungen (aber 

ähnlich wie C-Programme) enden #include-Zeilen nicht auf ein Komma. 

Zur Unterstützung bei der Profilerstellung für Ihre Anwendung bietet Novell AppArmor 

zwei #include-Klassen: Abstraktionen und Programmfragmente. 

Abstraktionen 

Abstraktionen sind #include-Dateien, die nach gemeinsamen Anwendungsaufgaben 

gruppiert werden. Diese Aufgaben umfassen Zugriff auf Authentifizierungsmechanismen, 

auf Namensdienstroutinen, gängige Grafikanforderungen und Systemkonten. Dateien, 

die in diesen Abstraktionen aufgelistet sind, sind spezifisch für die angegebene Aufgabe. 

Programme, die eine dieser Dateien benötigen, brauchen gewöhnlich einige der anderen 

Dateien, die in der Abstraktionsdatei aufgelistet sind (abhängig von der lokalen Konfiguration 

sowie den spezifischen Anforderungen des Programms). Abstraktionen 

befinden sich in /etc/apparmor.d/abstractions/. 


Programmfragmente 

Programmfragmente sind Zugriffskontrollen für bestimmte Programme, die ein Systemadministrator 

auf der Basis einer lokalen Standortrichtlinie steuern sollte. Jedes 

Fragment wird von einem einzelnen Programm benutzt. Fragmente dienen der einfacheren 

lokalen Modifizierung und Aktualisierung der Novell AppArmor-Richtlinien. 

Administratoren können die Richtlinien in diesen Dateien gemäß ihren Anforderungen 

modifizieren und die Programmprofile unverändert belassen. Dadurch vereinfacht sich 

das Zusammenführen von Novell AppArmor-Richtlinienaktualisierungen mit den geltenden 

Richtlinien an jedem Standort. 

Die Zugriffsbeschränkungen in den Programmfragmenten sind typischerweise sehr 

großzügig und sollen Ihren Benutzern auf möglichst unaufdringliche Weise Zugriff auf 

ihre Dateien ermöglichen und gleichzeitig den Schutz der Systemressourcen gestatten. 

Eine Ausnahme zu dieser Regel stellt die postfix*-Serie von Programmfragmenten 

dar. Diese Profile werden als Hilfe dafür benutzt, den Speicherort der postfix-Binärdateien 

zu abstrahieren. Wahrscheinlich möchten Sie die Berechtigungen in der 

postfix*-Serie nicht reduzieren. Programmfragmente befinden sich in /etc/ 

apparmor.d/program-chunks/. 

3.1.3 Funktionseinträge (POSIX.1e) 

Funktionsanweisungen bestehen einfach aus dem Wort „capability“, gefolgt vom Namen 

der POSIX.1e-Funktion, wie auf der Manualpage capabilities(7) definiert. 

3.2 Erstellen und Verwalten von 

Novell AppArmor-Profilen 

Es gibt drei Möglichkeiten, Novell AppArmor-Profile zu erstellen und zu verwalten, 

je nachdem, welche Art der Computerumgebung Sie bevorzugen. Sie können die grafische 

YaST-Benutzeroberfläche (YaST GUI), den textbasierten YaST-ncurses-Modus 

(YaST-ncurses) oder die Befehlszeilenschnittstelle verwenden. Alle drei Optionen sind 

nützlich zur Erstellung und Pflege von Profilen und bieten gleichzeitig Optionen für 

die jeweiligen Benutzeranforderungen. 


Für die Befehlszeilenschnittstelle wird vorausgesetzt, dass Sie mit Linux-Befehlen und 

der Verwendung von Terminalfenstern vertraut sind. Alle drei Methoden nutzen spezielle 

Novell AppArmor-Werkzeuge zur Erstellung der Profile, d. h., Ihnen wird die 

zeitraubende manuelle Erstellung erspart. 

3.2.1 Verwenden der grafischen 

YaST-Benutzeroberfläche 

Informationen über das Erstellen und Verwalten von Novell AppArmor-Profilen in der 

grafischen YaST-Benutzeroberfläche (GUI) finden Sie unter Abschnitt 3.3, „Erstellen 

von Novell AppArmor-Profilen in der YaST-GUI“ (S. 24). 

3.2.2 Arbeiten mit YaST-ncurses 

YaST-ncurses kann für die Erstellung und Verwaltung von Novell AppArmor-Profilen 

benutzt werden und eignen sich besser für Benutzer, deren Serververbindung nur über 

eine beschränkte Bandbreite verfügt. Greifen Sie auf YaST-ncurses zu, indem Sie yast 

in ein Terminalfenster eingeben, während Sie als root angemeldet sind. YaST-ncurses 

hat dieselben Funktionen wie die YaST-GUI. 

Beachten Sie die Anleitungen unter Abschnitt 3.3, „Erstellen von Novell AppArmor- 

Profilen in der YaST-GUI“ (S. 24) zur Erstellung von Novell AppArmor-Profilen in 

YaST-ncurses. Bedenken Sie dabei, dass die Fenster unterschiedlich aussehen, aber 

ähnlich funktionieren. 

3.2.3 Arbeiten mit der Befehlszeile 

Für die Befehlszeilenschnittstelle wird vorausgesetzt, dass Sie mit Linux-Befehlen und 

der Verwendung von Terminalfenstern vertraut sind. Informationen über das Erstellen 

und Verwalten von Novell AppArmor-Profilen mithilfe der Befehlszeilenschnittstelle 

finden Sie unter Abschnitt 3.4, „Erstellen von Novell AppArmor-Profilen mit der 

Befehlszeilenschnittstelle“ (S. 49). 

Die Befehlszeilenschnittstelle bietet Zugriff auf einige Werkzeuge, die nicht über 

andere Novell AppArmor-Verwaltungsmethoden zur Verfügung stehen: 


complain 

Versetzt Profile in den Meldungsmodus. Stellen Sie wieder den Erzwingen-Modus 

ein, wenn das System beginnen soll, die Regeln der Profile durchzusetzen, nicht 

einfach nur Informationen zu protokollieren. Weitere Informationen zu diesem 

Werkzeug finden Sie unter „Meldungs- oder Lernmodus“ (S. 59). 

enforce 

Versetzt Profile zurück in den Erzwingen-Modus und das System beginnt, die 

Regeln der Profile durchzusetzen, nicht einfach nur Informationen zu protokollieren. 

Weitere Informationen zu diesem Werkzeug finden Sie unter „Erzwingen-Modus“ 

(S. 60). 

unconfined 

Führt eine Serverprüfung durch, um laufende Prozesse zu finden, die Netzwerkverbindungen 

überwachen, und meldet dann, ob für diese Prozesse Profile vorhanden 

sind. 

autodep 

Generiert ein Profilgerüst für ein Programm und lädt dieses im Meldungsmodus 

in das Novell AppArmor-Modul. 

3.3 Erstellen von Novell 

AppArmor-Profilen in der 

YaST-GUI 

Öffnen Sie die YaST GUI, indem Sie YaST → Novell AppArmor im Hauptmenü starten. 

Novell AppArmor wird wie folgt in der YaST-Oberfläche geöffnet: 

ANMERKUNG 

Sie können die YaST-Oberfläche auch starten, indem Sie ein Terminalfenster 

öffnen, sich als root anmelden und yast2 eingeben. 


Im rechten Rahmen sehen Sie mehrere Symbole für Novell AppArmor-Optionen. Wenn 

Novell AppArmor nicht im linken Rahmen des YaST-Fensters angezeigt wird oder die 

Novell AppArmor-Symbole nicht angezeigt werden, sollten Sie Novell AppArmor neu 

installieren. Die folgenden Optionen stehen in Novell AppArmor zur Verfügung. 

Klicken Sie auf eines der folgenden Novell AppArmor-Symbole und fahren Sie im 

unten angegebenen Abschnitt fort: 

Assistent zum Hinzufügen von Profilen 

Detaillierte Schritte finden Sie unter Abschnitt 3.3.1, „Hinzufügen eines Profils 

mit dem Assistenten“ (S. 26). 

Profil manuell hinzufügen 

Hinzufügen eines Novell AppArmor-Profils für eine Anwendung auf Ihrem System 

ohne Unterstützung des Assistenten. Detaillierte Schritte finden Sie unter 

Abschnitt 3.3.2, „Manuelles Hinzufügen eines Profils“ (S. 33). 

Profil bearbeiten 

Bearbeiten eines bestehenden Novell AppArmor-Profils auf Ihrem System. 

Detaillierte Schritte finden Sie unter Abschnitt 3.3.3, „Bearbeiten eines Profils“ 

(S. 38). 

Profil löschen 

Löschen eines bestehenden Novell AppArmor-Profils von Ihrem System. Detaillierte 

Schritte finden Sie unter Abschnitt 3.3.4, „Löschen eines Profils“ (S. 40). 


Assistent zum Aktualisieren von Profilen 

Detaillierte Schritte finden Sie unter Abschnitt 3.3.5, „Aktualisieren von Profilen 

aus den Syslog-Einträgen“ (S. 41). 

AppArmor-Berichte 

Detaillierte Schritte finden Sie unter Abschnitt 4.3, „Berichte“ (S. 86). 

AppArmor-Kontrollleiste 

Detaillierte Schritte finden Sie unter Abschnitt 3.3.6, „Verwalten des Status von 

Novell AppArmor und Sicherheitsereignissen“ (S. 47). 

3.3.1 Hinzufügen eines Profils mit dem 

Assistenten 

Der Assistent zum Hinzufügen eines Profils dient dem Einrichten von Novell AppArmor- 

Profilen mithilfe der Novell AppArmor-Profilwerkzeuge genprof (Profil erstellen) und 

logprof (Profile aus Lernmodus-Protokolldatei aktualisieren). Weitere Informationen 

zu diesen Werkzeugen finden Sie unter Abschnitt 3.5.3, „Zusammenfassung der Profilwerkzeuge“ 

(S. 58). 

1 Stoppen Sie die Anwendung, bevor Sie Profile erstellen, um sicherzustellen, dass 

der Anwendungsstart im Profil enthalten ist. Stellen Sie dazu sicher, dass die 

Anwendung oder der Daemon erst dann ausgeführt werden, wenn ein Profil für 

sie erstellt ist. 

Beispiel: Geben Sie /etc/init.d/PROGRAM stop in ein Terminalfenster 

ein, während Sie als root angemeldet sind. Ersetzen Sie dabei PROGRAM durch 

den Namen des Programms, für das Sie ein Profil erstellen möchten. 

2 Falls noch nicht geschehen, klicken Sie in der YaST-Oberfläche auf Novell 

AppArmor → Add Profile Wizard (Assistent zum Hinzufügen eines Profils). 


3 Geben Sie den Namen der Anwendung ein oder navigieren Sie zum Speicherort 

des Programms. 

4 Klicken Sie auf Erstellen. Damit wird das Novell AppArmor-Werkzeug autodep 

ausgeführt, das eine statische Analyse des Programms ausführt, für das ein Profil 

erstellt werden soll, und ein vorläufiges Profil in das Novell AppArmor-Modul 

lädt. Weitere Informationen zu autodep finden Sie unter „autodep“ (S. 58). 

Das Fenster des AppArmor-Profilassistenten wird geöffnet. 


Im Hintergrund setzt Novell AppArmor auch das Profil in den Lernmodus. 

Weitere Informationen zum Lernmodus finden Sie unter „Meldungs- oder Lernmodus“ 

(S. 59). 

5 Führen Sie die Anwendung aus, für die ein Profil erstellt wird. 

6 Führen Sie möglichst viele der Anwendungsfunktionen aus, damit der Lernmodus 

die Dateien und Verzeichnisse protokollieren kann, auf die das Programm für 

eine korrekte Funktion zugreifen muss. 

7 Klicken Sie auf Scan System Log for Entries to Add to Profile (Systemprotokoll 

auf Einträge für Profil durchsuchen), um die Lernmodus-Protokolldateien zu 

analysieren. Damit wird eine Serie von Fragen erzeugt, die Sie beantworten 

müssen, um den Assistenten beim Generieren des Sicherheitsprofils anzuleiten. 

ANMERKUNG 

Wenn Anforderungen zum Erstellen von Hats auftreten, fahren Sie mit 

Kapitel 5, Erstellen von Profilen für Ihre Webanwendungen mit ChangeHat 

Apache (S. 113) fort. 

Die Fragen lassen sich in zwei Kategorien teilen: 


• Von einem Programm mit Profil wird eine Ressource angefordert, die sich 

nicht im Profil befindet (siehe Abbildung 3.1, „Lernmodus-Ausnahme: 

Kontrolle des Zugriffs auf bestimmte Ressourcen“ (S. 29)). Die Lernmodus- 

Ausnahme verlangt, dass Sie den Zugriff auf eine bestimmte Ressource 

erlauben oder ablehnen. 

• Ein Programm wird von dem Programm mit Profil ausgeführt, der Wechsel 

der Sicherheitsdomäne wurde nicht definiert (siehe Abbildung 3.2, „Lernmodus-Ausnahme: 

Definieren von Ausführungsberechtigungen für einen Eintrag“ 

(S. 30)). Die Lernmodus-Ausnahme verlangt, dass Sie Ausführungsberechtigungen 

für einen Eintrag definieren. 

Jeder dieser Fälle führt zu einer Serie von Fragen, die Sie beantworten müssen, 

um dem Profil die Ressource oder das Programm hinzuzufügen. Die folgenden 

beiden Abbildungen zeigen ein Beispiel für den jeweiligen Fall. Nachfolgende 

Schritte beschreiben Ihre Möglichkeiten bei der Beantwortung dieser Fragen. 

Das Fenster des AppArmor-Profilassistenten wird geöffnet. 

Abbildung 3.1 Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte 

Ressourcen 


Abbildung 3.2 Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen 

für einen Eintrag 

8 Der Assistent zum Hinzufügen eines Profils beginnt Verzeichnispfad-Einträge 

vorzuschlagen, auf welche die Anwendung, für die Sie ein Profil erstellen, 

zugegriffen hat (wie in Abbildung 3.1, „Lernmodus-Ausnahme: Kontrolle des 

Zugriffs auf bestimmte Ressourcen“ (S. 29) gezeigt), oder fordert Sie auf, Ausführungsberechtigungen 

für Einträge zu definieren (wie in Abbildung 3.2, 

„Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen 

Eintrag“ (S. 30) gezeigt). 

a Für Abbildung 3.1, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf 

bestimmte Ressourcen“: Wählen Sie aus den folgenden Optionen die 

geeignete für die Zugriffsanforderung, etwa eine vorgeschlagene include- 

Anweisung, eine bestimmte Pfadversion mit Platzhaltern oder den tatsächlichen 

Pfadnamen. Beachten Sie, dass nicht immer alle Optionen verfügbar 

sind. 

#include 

Der Abschnitt eines Novell AppArmor-Profils, der auf eine include- 

Datei verweist. Include-Dateien beziehen Zugriffsberechtigungen für 

Programme. Durch Verwenden einer include-Anweisung können Sie 

dem Programm Zugriff auf Verzeichnispfade oder Dateien geben, die 


auch von anderen Programmen benötigt werden. Mithilfe von include- 

Anweisungen lässt sich die Größe eines Profils verringern. Es empfiehlt 

sich, include-Anweisungen zu wählen, wenn diese vorgeschlagen werden. 

Version mit Platzhalter 

Zugriff durch Klicken auf Glob, wie im nächsten Schritt beschrieben. 

Weitere Informationen zur Auflösung der Syntax finden Sie unter 

Abschnitt 3.6, „Pfadnamen und Platzhalter“ (S. 76). 

Tatsächlicher Pfadname 

Buchstabengetreu angegebener Pfad, auf den das Programm zugreifen 

muss, damit es reibungslos ablaufen kann. 

b Für Abbildung 3.2, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen 

für einen Eintrag“: Wählen Sie aus den folgenden Optionen 

diejenige, die Ihren Zugriffsanforderungen entspricht. 

Inherit (Erben) 

Verbleiben im selben Sicherheitsprofil (übergeordnetes Profil). 

Profil 

Verlangt, dass ein separates Profil für das ausgeführte Programm existiert. 

Unconfined (Uneingeschränkt) 

Führt das Programm ohne Sicherheitsprofil aus. 

WARNUNG 

Sofern nicht unbedingt nötig, führen Sie das Programm nicht 

uneingeschränkt aus. Wenn Sie die Option Unconfined (Uneingeschränkt) 

wählen, wird das neue Programm ohne jeglichen Schutz 

von AppArmor ausgeführt. 

9 Nach der Wahl eines Verzeichnispfads müssen Sie diesen als einen Eintrag im 

Novell AppArmor-Profil festlegen, indem Sie auf Allow (Erlauben) oder Deny 

(Ablehnen) klicken. Wenn Sie nicht mit dem angezeigten Eintrag des Verzeichnispfads 

einverstanden sind, können Sie ihn durch Glob oder Edit (Bearbeiten) 

ändern. 


Die folgenden Optionen sind für die Verarbeitung der Lernmodus-Einträge und 

die Erstellung des Profils verfügbar: 

Allow (Erlauben) 

Gewährt dem Programm Zugriff auf die angegebenen Verzeichnispfad-Einträge. 

Der Assistent zum Hinzufügen von Profilen schlägt Dateizugriffsberechtigung 

vor. Weitere Informationen dazu finden Sie unter Abschnitt 3.7, 

„Modi für Dateizugriffsberechtigungen“ (S. 77). 

Deny (Ablehnen) 

Klicken Sie auf Deny (Verweigern), um das Programm am Zugriff auf die 

angegebenen Verzeichnispfad-Einträge zu hindern. 

Glob 

Durch Klicken auf diese Option wird der Verzeichnispfad (durch Verwendung 

von Platzhaltern) so geändert, dass er alle Dateien im vorgeschlagenen Eintragsverzeichnis 

umfasst. Durch Doppelklicken auf diese Option wird der 

Zugriff auf alle Dateien und Unterverzeichnisse unterhalb des angezeigten 

Verzeichnisses gewährt. 

Weitere Informationen zur Syntax mit Platzhaltern finden Sie unter 


Glob mit Erw 

Ändern des ursprünglichen Verzeichnispfads unter Beibehaltung der 

Dateinamenerweiterung. Durch einen einzelnen Klick wird /etc/ 

apache2/file.ext zu /etc/apache2/*.ext und der Platzhalter 

(Sternchen) wird anstelle des Dateinamens hinzugefügt. Damit kann das 

Programm auf alle Dateien, die mit der Erweiterung .ext enden, in den 

vorgeschlagenen Verzeichnissen zugreifen. Durch Doppelklicken auf diese 

Option wird der Zugriff auf alle Dateien (mit der angegebenen Erweiterung) 

und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt. 

Bearbeiten 

Ermöglicht die Bearbeitung der markierten Zeile. Die neue (bearbeitete) 

Zeile erscheint am Ende der Liste. 

Abbrechen 

Bricht logprof ab, verwirft alle bereits eingegebenen Regeländerungen und 

belässt die Profile unverändert. 


Beenden 

Beendet logprof, speichert alle bereits eingegebenen Regeländerungen und 

ändert alle Profile entsprechend. 

Klicken Sie für jeden Lernmodus-Eintrag auf Allow (Erlauben) oder Deny 

(Ablehnen). Diese Einträge helfen bei der Erstellung des Novell AppArmor- 

Profils. 

ANMERKUNG 

Die Anzahl der Lernmodus-Einträge hängt von der Komplexität der 

Anwendung ab. 

Wiederholen Sie die vorherigen Schritte, wenn Sie in Ihrer Anwendung mehr 

Funktionalität ausführen müssen. 

Wenn Sie fertig sind, klicken Sie auf Beenden. Klicken Sie im darauf folgenden 

Popup-Fenster auf Ja, um den Assistenten zur Profilerstellung zu beenden. Das 

Profil wird gespeichert und in das Novell AppArmor-Modul geladen. 

3.3.2 Manuelles Hinzufügen eines Profils 

Novell AppArmor ermöglicht Ihnen, ein Novell AppArmor-Profil durch manuelles 

Hinzufügen von Einträgen im Profil zu erstellen. Sie müssen einfach die Anwendung 

auswählen, für die das Profil erstellt wird, und dann Einträge hinzufügen. 

1 Um ein Profil hinzuzufügen, öffnen Sie YaST → Novell AppArmor. Die Novell 

AppArmor-Oberfläche wird geöffnet. 

2 Klicken Sie in Novell AppArmor auf Profil manuell hinzufügen (siehe Abbildung 

3.3, „Manuelles Hinzufügen eines Profils: Anwendung auswählen“ (S. 34)). 


Abbildung 3.3 Manuelles Hinzufügen eines Profils: Anwendung auswählen 

3 Navigieren Sie in Ihrem System zu der Anwendung, für die das Profil erstellt 

werden soll. 

4 Um das Profil zu finden, wählen Sie es aus und klicken Sie auf Öffnen. Ein 

grundlegendes leeres Profil wird im Dialogfeld Novell AppArmor-Profil angezeigt. 

5 Im Fenster AppArmor-Profildialog können Sie Novell AppArmor-Profileinträge 

hinzufügen, bearbeiten oder löschen, indem Sie auf die entsprechenden Schalt- 


flächen klicken und die folgenden Abschnitte beachten: „Hinzufügen eines Eintrags“ 

(S. 35), „Bearbeiten eines Eintrags“ (S. 37) bzw. „Bearbeiten eines Eintrags“ 

(S. 37). 

6 Wenn Sie fertig sind, klicken Sie auf Fertig. 

Hinzufügen eines Eintrags 

Dieser Abschnitt erläutert die Option Add Entry (Eintrag hinzufügen) in Abschnitt 3.3.2, 

„Manuelles Hinzufügen eines Profils“ (S. 33) oder Abschnitt 3.3.3, „Bearbeiten eines 

Profils“ (S. 38). Wenn Sie Add Entry (Eintrag hinzufügen) wählen, zeigt eine Dropdown- 

Liste die Eintragstypen, die Sie dem Novell AppArmor-Profil hinzufügen können. 

• Wählen Sie eine der folgenden Optionen aus der Liste: 

File (Datei) 

Geben Sie im Popup-Fenster den absoluten Pfad einer Datei samt der 

erlaubten Zugriffsart an. Klicken Sie zum Abschluss auf OK. 

Bei Bedarf können Sie Platzhalter verwenden. Informationen zu Platzhaltern 

finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (S. 76). Informationen 

zu Dateizugriffsberechtigungen finden Sie unter Abschnitt 3.7, 

„Modi für Dateizugriffsberechtigungen“ (S. 77). 


Directory (Verzeichnis) 

Geben Sie im Popup-Fenster den absoluten Pfad eines Verzeichnisses samt 

der erlaubten Zugriffsart an. Bei Bedarf können Sie Platzhalter verwenden. 

Klicken Sie zum Abschluss auf OK. 

Informationen zu Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen 

und Platzhalter“ (S. 76). Informationen zu Dateizugriffsberechtigungen 

finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ 

(S. 77). 

Funktion 

Wählen Sie in dem Popup-Fenster die geeigneten Funktionen. Dabei handelt 

es sich um Anweisungen, die jede der 32 Funktionen im POSIX.1e-Entwurf 

aktivieren. Weitere Informationen über Funktionen erhalten Sie unter 

Abschnitt 3.1.1, „Zerlegen eines Novell AppArmor-Profils in seine Teile“ 

(S. 19). Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf OK. 


Include 

Navigieren Sie in dem Popup-Fenster zu den Dateien, die als include- 

Dateien genutzt werden sollen. Include-Dateien sind Direktiven, die Komponenten 

von anderen Novell AppArmor-Profilen abrufen, um Profile zu vereinfachen. 

Weitere Informationen finden Sie in Abschnitt 3.1.2, „#include“ 

(S. 21). 

Bearbeiten eines Eintrags 

Dieser Abschnitt erläutert die Option Edit Entry (Eintrag bearbeiten) in Abschnitt 3.3.2, 



Profils“ (S. 38). Wenn Sie Edit Entry (Eintrag bearbeiten) wählen, wird das Dateibrowser-Fenster 

geöffnet. Hier können Sie den ausgewählten Eintrag bearbeiten. 

Geben Sie im Popup-Fenster den absoluten Pfad einer Datei samt der erlaubten Zugriffsart 

an. Bei Bedarf können Sie Platzhalter verwenden. Klicken Sie zum Abschluss auf 

OK. 

Informationen zu Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ 

(S. 76). Informationen zu Dateizugriffsberechtigungen finden Sie unter 

Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (S. 77). 

Löschen eines Eintrags 

Dieser Abschnitt erläutert die Option Delete Entry (Eintrag löschen) in Abschnitt 3.3.2, 


Profils“ (S. 38). Wenn Sie einen Eintrag auswählen und dann Delete Entry (Eintrag 

löschen) wählen, entfernt Novell AppArmor den ausgewählten Profileintrag. 

3.3.3 Bearbeiten eines Profils 

Novell AppArmor ermöglicht Ihnen, Novell AppArmor-Profile manuell zu bearbeiten, 

indem Sie Einträge hinzufügen, bearbeiten oder löschen. Sie müssen einfach das Profil 

auswählen und dann Einträge hinzufügen, bearbeiten oder löschen. Führen Sie die folgenden 

Schritte aus, um ein Profil zu bearbeiten: 


1 Öffnen Sie YaST → Novell AppArmor. 

2 Klicken Sie unter Novell AppArmor auf Profil bearbeiten. Das Fenster Edit 

Profile—Choose Profile to Edit (Profil bearbeiten – Profil auswählen) wird 

geöffnet. 

3 Wählen Sie aus der Liste der Programme mit Profil das Profil, das Sie bearbeiten 

möchten. 

4 Klicken Sie auf Weiter. Das Fenster AppArmor-Profildialog zeigt das Profil an. 


5 Im Fenster AppArmor-Profildialog können Sie Novell AppArmor-Profileinträge 

hinzufügen, bearbeiten oder löschen, indem Sie auf die entsprechenden Schaltflächen 

klicken und die folgenden Abschnitte beachten: „Hinzufügen eines Eintrags“ 

(S. 35), „Bearbeiten eines Eintrags“ (S. 37) bzw. „Löschen eines Eintrags“ 

(S. 38). 

6 Wenn Sie fertig sind, klicken Sie auf Fertig. 

7 Klicken Sie im darauf folgenden Popup-Fenster auf Ja, um die Änderungen des 

Profils zu bestätigen. 

3.3.4 Löschen eines Profils 

Novell AppArmor ermöglicht Ihnen, ein Novell AppArmor-Profil manuell zu löschen. 

Sie müssen einfach die Anwendung auswählen, für die ein Profil gelöscht werden soll, 

und dieses dann wie folgt löschen: 

1 Öffnen Sie YaST → Novell AppArmor. Die Novell AppArmor-Oberfläche wird 

angezeigt. 


2 Klicken Sie unter Novell AppArmor auf das Symbol Profil löschen. Das Fenster 

Delete Profile - Choose Profile to Delete (Profil löschen – Profil auswählen) 

wird geöffnet. 

3 Wählen Sie das zu löschende Profil aus. 

4 Klicken Sie auf Weiter. 

5 Klicken Sie im darauf folgenden Popup-Fenster auf Ja, um das Profil zu löschen. 

3.3.5 Aktualisieren von Profilen aus den 

Syslog-Einträgen 

Der Novell AppArmor-Profilassistent verwendet das Werkzeug logprof, das Protokolldateien 

scannt und Ihnen ermöglicht, Profile zu aktualisieren. logprof verfolgt die 

Meldungen aus dem Novell AppArmor-Modul, die Ausnahmen für alle auf Ihrem 

System ausgeführten Profile darstellen. Diese Ausnahmen repräsentieren das Verhalten 

der Anwendung mit Profil, die sich außerhalb der Profildefinition für das Programm 

befindet. Sie können dem betreffenden Profil das neue Verhalten hinzufügen, indem 

Sie den vorgeschlagenen Profileintrag auswählen. 


1 Öffnen Sie YaST → Novell AppArmor. Die Novell AppArmor-Oberfläche wird 

angezeigt. 

2 Klicken Sie unter Novell AppArmor auf Assistent zum Aktualisieren von Profilen. 

Das Fenster AppArmor-Profilassistent wird geöffnet. 

Beim Ausführen des Assistenten zum Aktualisieren von Profilen (logprof) werden 

die Lernmodus-Protokolldateien analysiert. Damit wird eine Serie von Fragen 

erzeugt, die Sie beantworten müssen, um logprof beim Generieren des Sicherheitsprofils 

zu lenken. 

Die Fragen lassen sich in zwei Kategorien teilen: 


nicht im Profil befindet (siehe Abbildung 3.4, „Lernmodus-Ausnahme: 

Kontrolle des Zugriffs auf bestimmte Ressourcen“ (S. 43)). 

• Ein Programm wird von dem Programm mit Profil ausgeführt und der 

Wechsel der Sicherheitsdomäne wurde nicht definiert (siehe Abbildung 3.5, 

„Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für 

einen Eintrag“ (S. 43)). 

Jeder dieser Fälle führt zu einer Frage, die Sie beantworten müssen, um dem 

Profil die Ressource oder das Programm hinzuzufügen. Die folgenden beiden 


Abbildungen zeigen ein Beispiel für den jeweiligen Fall. Nachfolgende Schritte 

beschreiben Ihre Möglichkeiten bei der Beantwortung dieser Fragen. 

Abbildung 3.4 Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte 

Ressourcen 

Abbildung 3.5 Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen 

für einen Eintrag 


3 logprof beginnt Verzeichnispfad-Einträge vorzuschlagen, auf welche die 

Anwendung, für die Sie ein Profil erstellen, zugegriffen hat (wie in Abbildung 3.4, 

„Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen“ 

(S. 43) gezeigt), oder fordert Sie auf, Ausführungsberechtigungen für Einträge 

zu definieren (wie in Abbildung 3.5, „Lernmodus-Ausnahme: Definieren von 

Ausführungsberechtigungen für einen Eintrag“ (S. 43) gezeigt). 

a Für Abbildung 3.4, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf 

bestimmte Ressourcen“ (S. 43): Wählen Sie aus den folgenden Optionen 

die geeignete für die Zugriffsanforderung, etwa eine vorgeschlagene include- 

Anweisung, eine bestimmte Pfadversion mit Platzhaltern oder den tatsächlichen 

Pfadnamen. Beachten Sie, dass nicht immer alle Optionen verfügbar 

sind. 

#include 

Der Abschnitt eines Novell AppArmor-Profils, der auf eine include- 

Datei verweist. Include-Dateien rufen Zugriffsberechtigungen für Programme 

ab. Durch Verwenden einer include-Anweisung können Sie 

dem Programm Zugriff auf Verzeichnispfade oder Dateien geben, die 

auch von anderen Programmen benötigt werden. Mithilfe von include- 

Anweisungen lässt sich die Größe eines Profils verringern. Es empfiehlt 

sich, include-Anweisungen zu wählen, wenn diese vorgeschlagen werden. 


Zugriff durch Klicken auf Glob, wie im nächsten Schritt beschrieben. 




Dies ist der buchstabengetreu angegebene Pfad, auf den das Programm 

zugreifen muss, damit es reibungslos ablaufen kann. 

b Für Abbildung 3.5, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen 

für einen Eintrag“ (S. 43): Wählen Sie die Option, die Ihren 

Zugriffsanforderungen entspricht, aus den folgenden: 

Inherit (Erben) 

Verbleiben im selben Sicherheitsprofil (Profil des übergeordneten Programms). 



Verlangt, dass ein separates Profil für das ausgeführte Programm existiert. 


Programm ohne Sicherheitsprofil ausgeführt 

WARNUNG 

Sofern nicht unbedingt nötig, führen Sie das Programm nicht 

uneingeschränkt aus. Wenn Sie die Option Unconfined (Uneingeschränkt) 

wählen, wird das neue Programm ohne jeglichen Schutz 

von AppArmor ausgeführt. 

4 Nach der Wahl eines Verzeichnispfads müssen Sie diesen als einen Eintrag im 

Novell AppArmor-Profil festlegen, indem Sie auf Allow (Erlauben) oder Deny 

(Ablehnen) klicken. Wenn Sie nicht mit dem angezeigten Eintrag des Verzeichnispfads 

einverstanden sind, können Sie ihn durch Glob oder Edit (Bearbeiten) 

ändern. 




Gewährt dem Programm Zugriff auf die angegebenen Verzeichnispfad-Einträge. 

Der Assistent zum Erstellen von Profilen schlägt Dateizugriffsberechtigung 

vor. Weitere Informationen dazu finden Sie unter Abschnitt 3.7, „Modi 

für Dateizugriffsberechtigungen“ (S. 77). 


Klicken Sie auf Deny (Verweigern), um das Programm am Zugriff auf die 

angegebenen Verzeichnispfad-Einträge zu hindern. 

Glob 







Weitere Informationen zur Syntax mit Platzhaltern finden Sie unter 



Ändern des ursprünglichen Verzeichnispfads unter Beibehaltung der 

Dateinamenerweiterung. Durch einen einzelnen Klick wird /etc/ 

apache2/file.ext zu /etc/apache2/*.ext und der Platzhalter 

(Sternchen) wird anstelle des Dateinamens hinzugefügt. Damit kann das 

Programm auf alle Dateien, die mit der Erweiterung .ext enden, in den 

vorgeschlagenen Verzeichnissen zugreifen. Durch Doppelklicken auf diese 



Bearbeiten 

Ermöglicht die Bearbeitung der markierten Zeile. Die neue (bearbeitete) 


Abbrechen 



Beenden 



Klicken Sie für jeden Lernmodus-Eintrag auf Allow (Erlauben) oder Deny 

(Ablehnen). Diese Einträge helfen bei der Erstellung des Novell AppArmor- 

Profils. 

ANMERKUNG 

Die Anzahl der Lernmodus-Einträge hängt von der Komplexität der 

Anwendung ab. 

Wiederholen Sie die vorherigen Schritte, wenn Sie in Ihrer Anwendung mehr 

Funktionalität ausführen müssen. 

Wenn Sie fertig sind, klicken Sie auf Beenden. Klicken Sie im darauf folgenden 

Popup-Fenster auf Ja, um den Assistenten zur Profilerstellung zu beenden. Das 

Profil wird gespeichert und in das Novell AppArmor-Modul geladen. 


3.3.6 Verwalten des Status von Novell 

AppArmor und Sicherheitsereignissen 

Novell AppArmor ermöglicht Ihnen, den Status von Novell AppArmor zu ändern und 

die Ereignisbenachrichtigung zu konfigurieren. 

Ändern des Novell AppArmor-Status 

Sie können den Status von Novell AppArmor durch Aktivieren oder Deaktivieren 

ändern. Wenn Sie Novell AppArmor aktivieren, wird Ihr System vor potenzieller 

unberechtigter Programmbenutzung geschützt. Durch Deaktivieren von Novell 

AppArmor, selbst wenn Ihre Profile eingerichtet wurden, wird der Schutz von 

Ihrem System entfernt. 

Konfigurieren der Ereignisbenachrichtigung 

Sie können bestimmen, wie und wann Sie beim Auftreten von Systemsicherheitsereignissen 

benachrichtigt werden. 

ANMERKUNG 

Sie müssen zunächst auf Ihrem SUSE Linux-Server einen Mailserver einrichten, 

der ausgehende Mail mit dem SMTP-Protokoll senden kann. Verwenden 

Sie beispielsweise postfix oder exim, damit die Ereignisbenachrichtigung 

funktioniert. 

Führen Sie die folgenden Schritte aus, um Ereignisbenachrichtigung zu konfigurieren 

und den Status von Novell AppArmor zu ändern: 

1 Wenn Sie auf Novell AppArmor-Kontrollleiste klicken, wird das Fenster Novell 

AppArmor-Konfiguration wie folgt geöffnet: 


2 Bestimmen Sie im Fenster AppArmor-Konfiguration, ob Novell AppArmor und 

die Sicherheitsereignisbenachrichtigung ausgeführt werden, indem Sie nach einer 

Statusmeldung suchen, die enabled (aktiviert) lautet. 

• Um den Status von Novell AppArmor zu ändern, fahren Sie fort wie unter 

„Ändern des Novell AppArmor-Status“ (S. 48) beschrieben. 

• Um die Ereignisbenachrichtigung zu konfigurieren, fahren Sie fort wie unter 

Abschnitt 4.2.2, „Konfigurieren der Sicherheitsereignisbenachrichtigung“ 

(S. 83) beschrieben. 

Ändern des Novell AppArmor-Status 

Wenn Sie den Status von Novell AppArmor ändern, setzen Sie ihn auf "enable" (aktiviert) 

oder "disable" (deaktiviert). Wenn Novell AppArmor aktiviert ist, ist es installiert, 

wird ausgeführt und setzt die Novell AppArmor-Sicherheitsrichtlinien durch. 

1 Um Novell AppArmor zu aktivieren, öffnen Sie YaST → Novell AppArmor. Das 

Novell AppArmor-Hauptmenü wird angezeigt. 

2 Klicken Sie im Novell AppArmor-Hauptmenü auf AppArmor-Kontrollleiste. Das 

Fenster AppArmor-Konfiguration wird angezeigt. 


3 Klicken Sie im Bereich Novell AppArmor aktivieren des Fensters auf Konfigurieren. 

Das Dialogfeld Novell AppArmor aktivieren wird geöffnet. 

4 Aktivieren oder deaktivieren Sie Novell AppArmor, indem Sie Aktivieren bzw. 

Deaktivieren wählen. Klicken Sie dann auf OK. 

5 Klicken Sie im Fenster AppArmor-Konfiguration auf Fertig. 

6 Klicken Sie im YaST-Kontrollzentrum auf Datei → Beenden. 

3.4 Erstellen von Novell 

AppArmor-Profilen mit der 

Befehlszeilenschnittstelle 

Novell AppArmor bietet die Möglichkeit, Ihre Systemsicherheit mithilfe einer 

Befehlszeilenschnittstelle anstatt der grafischen Benutzeroberfläche zu verwalten und 

zu konfigurieren. 


3.4.1 Prüfen des AppArmor-Modulstatus 

Das AppArmor-Modul kann sich in einem von drei Status befinden: 

Unloaded (Entladen) 

Das AppArmor-Modul ist nicht in den Kernel geladen. 

Running (Wird ausgeführt) 

Das AppArmor-Modul ist in den Kernel geladen und setzt Novell AppArmor- 

Programmrichtlinien durch. 

Gestoppt 

Das AppArmor-Modul ist in den Kernel geladen, aber es werden keine Programmrichtlinien 

durchgesetzt. 

Sie können ermitteln, in welchem der drei Status sich das AppArmor-Modul befindet, 

indem Sie /sys/kernel/security/apparmor/profiles überprüfen. Wenn 

cat /sys/kernel/security/apparmor/profiles eine Liste mit Profilen 

meldet, wird Novell AppArmor ausgeführt. Wenn sie leer ist und keinen Wert zurückgibt, 

wird AppArmor angehalten. Wenn die Datei nicht existiert, wird AppArmor entladen. 

Das AppArmor-Modul kann mit den Linux-Modul-Standardbefehlen wie modprobe, 

insmod, lsmod und rmmod geladen und entladen werden, jedoch wird diese 

Methode nicht empfohlen. Stattdessen wird empfohlen, Novell AppArmor durch das 

Skript rcapparmor zu verwalten, das die folgenden Operationen ausführen kann: 

rcapparmor start 

Das Verhalten unterscheidet sich abhängig vom Status des AppArmor-Moduls. 

Wenn es entladen war, lädt start das Modul und startet es, wodurch es den Status 

"running" (wird ausgeführt) erhält. Wenn es angehalten war, veranlasst start 

das Modul, die Novell AppArmor-Profile neu zu scannen, die sich gewöhnlich in 

/etc/apparmor.d befinden, und setzt das Modul in den Status "running" (wird 

ausgeführt). Wenn das Modul bereits ausgeführt wurde, meldet start eine Warnung 

und ergreift keine Aktion. 

rcapparmor stop 

Hält das AppArmor-Modul an (falls es ausgeführt wurde), indem alle Profile aus 

dem Kernel-Speicher entfernt werden, und deaktiviert damit effektiv alle 

Zugriffskontrollen und setzt das Modul in den Status "stopped" (gestoppt). Wenn 


das AppArmor-Modul entladen oder bereits gestoppt war, versucht stop die Profile 

erneut zu entladen, aber es erfolgt keine Aktion. 

rcapparmor restart 

Veranlasst das AppArmor-Modul, die Profile erneut zu überprüfen, die sich 

gewöhnlich in /etc/apparmor.d befinden, ohne die Einschränkung von laufenden 

Prozessen aufzuheben, neue Profile hinzuzufügen und etwaige Profile zu 

entfernen, die aus /etc/apparmor.d gelöscht wurden. 

rcapparmor kill 

Entfernt das AppArmor-Modul bedingungslos aus dem Kernel. Dieser Vorgang 

beeinträchtigt die Sicherheit, da das Entladen von Modulen aus dem Linux-Kernel 

nicht sicher ist. Dieser Befehl wird nur für Fehlersuche und Notfälle zur Verfügung 

gestellt, in denen das Modul eventuell entfernt werden muss. 

ANMERKUNG 

Novell AppArmor ist ein leistungsstarkes System zur Zugriffskontrolle und 

es ist möglich, dass Sie sich aus Ihrem eigenen Rechner so weit aussperren, 

dass Sie ihn von Rettungsmedien (wie CD 1 von SUSE Linux) neu starten 

müssen, um wieder die Kontrolle zu erhalten. 

Stellen Sie zur Vermeidung eines solchen Problems stets sicher, dass Sie 

beim Neustart des AppArmor-Moduls über eine laufende, uneingeschränkte 

root-Anmeldung auf dem Rechner verfügen, der konfiguriert wird. Wenn 

Sie Ihr System so sehr beschädigen, dass keine Anmeldungen mehr möglich 

sind (beispielsweise durch Beschädigen des Profils, das mit dem SSH-Daemon 

verbunden ist), können Sie den Schaden beheben, indem Sie Ihre 

laufende root-Eingabe-Aufforderung verwenden und das AppArmor-Modul 

neu starten. 

3.4.2 Erstellen von Novell 


Die Profildefinitionen des AppArmor-Moduls werden im Verzeichnis /etc/apparmor 

.d/ als Klartext-Dateien gespeichert. 


WARNUNG 

Alle Dateien im Verzeichnis /etc/apparmor.d/ werden als Profile interpretiert 

und geladen. Das Umbenennen von Dateien in diesem Verzeichnis ist 

keine wirksame Methode, um das Laden von Profilen zu verhindern. Sie müssen 

Profile aus diesem Verzeichnis entfernen, um sie wirksam zu verwalten. 

Sie können einen Texteditor wie vim verwenden, um auf diese Profile zuzugreifen und 

sie zu ändern. Die folgenden Optionen enthalten ausführliche Schritte für die Erstellung 

von Profilen: 

Hinzufügen oder Erstellen von Novell AppArmor-Profilen 

Siehe Abschnitt 3.4.3, „Hinzufügen oder Erstellen von Novell AppArmor-Profilen“ 

(S. 53). 

Bearbeiten von Novell AppArmor-Profilen 

Siehe Abschnitt 3.4.4, „Bearbeiten von Novell AppArmor-Profilen“ (S. 53). 

Löschen von Novell AppArmor-Profilen 

Siehe Abschnitt 3.4.5, „Löschen von Novell AppArmor-Profilen“ (S. 54). 

Verwenden Sie vim, um Ihr Profil anzuzeigen und zu bearbeiten, indem Sie "vim" in 

ein Terminalfenster eingeben. Wenn Sie beim Bearbeiten eines Novell AppArmor- 

Profils in vim Syntaxfarben aktivieren möchten, verwenden Sie die Befehle :syntax 

on und dann :set syntax=apparmor. Weitere Informationen zu vim und Syntaxfarben 

finden Sie unter „apparmor.vim“ (S. 74). 

ANMERKUNG 

Nachdem Sie ein Profil geändert haben, verwenden Sie den Befehl rcapparmor 

restart, der im vorigen Abschnitt beschrieben ist. Dieser Befehl veranlasst 

Novell AppArmor, die Profile erneut zu lesen. Eine detaillierte Beschreibung 

der Syntax dieser Dateien finden Sie in Kapitel 3, Erstellen von Novell AppArmor- 

Profilen (S. 19). 


3.4.3 Hinzufügen oder Erstellen von Novell 


Sie können ein Novell AppArmor-Profil für eine Anwendung hinzufügen oder erstellen 

und abhängig von Ihren Anforderungen eine systemweite Profilerstellung oder Einzelprofilerstellung 

verwenden. 

Einzelprofilerstellung 

Geeignet für Profile von kleinen Anwendungen mit endlicher Laufzeit, etwa 

Benutzer-Client-Anwendungen wie Mail-Clients. Informationen finden Sie in 

Abschnitt 3.5.1, „Einzelprofilerstellung“ (S. 55). 

Systemweite Profilerstellung 

Geeignet für Profile, die gleichzeitig für eine große Anzahl an Programmen gelten 

oder für Anwendungen, die mehrere Tage, Wochen oder über Neustarts hinweg 

ablaufen, beispielsweise Netzwerkserver-Anwendungen wie Webserver und 

Mailserver. Abschnitt 3.5.2, „Systemweite Profilerstellung“ (S. 56). 

3.4.4 Bearbeiten von Novell 


Die folgenden Schritte beschreiben die Vorgehensweise für die Bearbeitung eines 

Novell AppArmor-Profils. Für ein besseres Verständnis der Bestandteile eines Profils 

siehe Abschnitt 3.1, „Profilkomponenten und Syntax“ (S. 19). 

1 Wenn Sie derzeit nicht als root angemeldet sind, geben Sie su in ein Terminalfenster 

ein. 

2 Geben Sie das root-Passwort ein, wenn Sie dazu aufgefordert werden. 

3 Um in das Verzeichnis zu wechseln, geben Sie cd /etc/apparmor.d/ ein. 

4 Geben Sie ls ein, um alle aktuell installierten Profile aufzulisten. 

5 Öffnen Sie das zu bearbeitende Profil in einem Texteditor, z. B. vim. 


6 Nehmen Sie die erforderlichen Änderungen vor und speichern Sie dann das 

Profil. 

7 Starten Sie Novell AppArmor neu, indem Sie rcapparmor restart in ein 

Terminalfenster eingeben. 

3.4.5 Löschen von Novell AppArmor-Profilen 

Die folgenden Schritte beschreiben die Vorgehensweise für das Löschen eines Novell 

AppArmor-Profils. 

1 Wenn Sie derzeit nicht als root angemeldet sind, geben Sie su in ein Terminalfenster 

ein. 

2 Geben Sie das root-Passwort ein, wenn Sie dazu aufgefordert werden. 

3 Um in das Novell AppArmor-Verzeichnis zu wechseln, geben Sie cd 

/etc/apparmor.d/ ein. 

4 Geben Sie ls ein, um alle aktuell installierten Novell AppArmor-Profile aufzulisten. 

5 Löschen Sie das bestehende Profil mit rm profilename. 

6 Starten Sie Novell AppArmor neu, indem Sie rcapparmor restart in ein 

Terminalfenster eingeben. 

3.5 Zwei Methoden der 

Profilerstellung 

Mithilfe der Syntax für Novell AppArmor-Profile in Abschnitt 3.1, „Profilkomponenten 

und Syntax“ (S. 19) können Sie Profile ohne Einsatz der Werkzeuge erstellen. Der 

Aufwand wäre jedoch erheblich. Eine solche Anstrengung können Sie vermeiden, indem 

Sie Erstellung und Ausarbeitung der Profile mithilfe der Novell AppArmor-Werkzeuge 

automatisieren. 


Es gibt zwei Herangehensweisen bei der Erstellung von Novell AppArmor-Profilen 

mit entsprechenden Werkzeugen für beide Methoden. 

Einzelprofilerstellung 

Eine geeignete Methode für Profile von kleinen Anwendungen mit endlicher 

Laufzeit, etwa Benutzer-Client-Anwendungen wie Mail-Clients. Weitere Informationen 

finden Sie in Abschnitt 3.5.1, „Einzelprofilerstellung“ (S. 55). 

Systemweite Profilerstellung 

Geeignete Methode für Profile, die gleichzeitig für eine große Anzahl an Programmen 

gelten oder für Anwendungen, die mehrere Tage, Wochen oder über Neustarts 

hinweg ablaufen, beispielsweise Netzwerkserver-Anwendungen wie Webserver 

und Mailserver. Weitere Informationen finden Sie in Abschnitt 3.5.2, „Systemweite 

Profilerstellung“ (S. 56). 

Automatisierte Profilentwicklung lässt sich mithilfe der Novell AppArmor-Werkzeuge 

leichter verwalten: 

1 Entscheiden Sie, welche Methode der Profilerstellung Ihren Anforderungen entspricht. 

2 Führen Sie eine statische Analyse aus. Führen Sie abhängig von der gewählten 

Profilerstellungsmethode genprof oder autodep aus. 

3 Aktivieren Sie dynamisches Lernen. Aktivieren Sie den Lernmodus für alle 

Programme mit Profil. 

3.5.1 Einzelprofilerstellung 

Die Erstellung und Verbesserung von Einzelprofilen wird durch das Programm genprof 

verwaltet. Dies ist eine bequeme Methode, da sich genprof um alles kümmert, ist aber 

eingeschränkt, da genprof für die gesamte Dauer des Testlaufs Ihres Programms ausgeführt 

werden muss (d. h., Sie können den Rechner nicht neu starten, während Sie noch 

Ihr Profil entwickeln). 

Informationen über die Verwendung von genprof beim Erstellen von Einzelprofilen 

finden Sie unter „genprof“ (S. 61). 


3.5.2 Systemweite Profilerstellung 

Diese Methode heißt systemweite Profilerstellung, da sie alle Profile des Systems 

gleichzeitig aktualisiert, anstatt sich auf das eine oder die wenigen Profile zu konzentrieren, 

die von genprof oder der Einzelprofilerstellung behandelt werden. 

Bei der systemweiten Profilerstellung sind Erstellen und Ausarbeiten von Profilen etwas 

weniger automatisiert, dafür aber flexibler. Diese Methode eignet sich für langfristig 

ausgeführte Programme, deren Verhalten nach einem Neustart fortfährt, oder für eine 

große Anzahl an Programmen, die gleichzeitig ein Profil erhalten sollen. 

Erstellen Sie wie folgt ein Novell AppArmor-Profil für eine Gruppe von Anwendungen: 

1 Erstellen Sie Profile für die einzelnen Programme, aus denen Ihre 

Anwendung besteht. Obwohl diese Methode systemweit wirkt, überwacht 

Novell AppArmor nur die Programme mit Profilen und deren untergeordnete 

Programme. Damit also Novell AppArmor ein Programm berücksichtigt, müssen 

Sie mindestens autodep ausführen, um ein vorläufiges Profil dafür zu erstellen. 

Informationen zur Erstellung dieses vorläufigen Profils finden Sie unter „autodep“ 

(S. 58). 

2 Versetzen Sie relevante Profile in den Lern- oder Meldungsmodus. Aktivieren 

Sie den Lern- oder Meldungsmodus für alle Programme mit Profil, indem 

Sie complain /etc/apparmor.d/* in ein Terminalfenster eingeben, 

während Sie als root angemeldet sind. 

Im Lernmodus werden Zugriffsanforderungen nicht blockiert, selbst wenn das 

Profil dies vorsieht. Damit können Sie mehrere Tests ausführen (wie in Schritt 

3 (S. 56) gezeigt) und die Zugriffsanforderungen des Programms lernen, damit 

es reibungslos abläuft. Anhand dieser Information können Sie entscheiden, wie 

sicher das Profil sein muss. 

Ausführlichere Anleitungen zur Verwendung des Lern- oder Meldungsmodus 

finden Sie unter „Meldungs- oder Lernmodus“ (S. 59). 

3 Führen Sie Ihre Anwendung aus. Führen Sie Ihre Anwendung und deren 

Funktionalität aus. Wie viel des Programms Sie ausführen, ist Ihre Entscheidung, 

aber das Programm muss auf jede Datei gemäß den entsprechenden Anforderungen 

zugreifen. Da die Ausführung nicht durch genprof überwacht wird, kann 


dieser Schritt Tage und Wochen beanspruchen und über vollständige Systemneustarts 

hinweg dauern. 

4 Analysieren Sie das Protokoll. Führen Sie bei der systemweiten Profilerstellung 

logprof direkt aus, anstatt es von genprof ausführen zu lassen (wie bei der 

Einzelprofilerstellung). Die allgemeine Form von logprof: 

logprof [ -d /path/to/profiles ] [ -f /path/to/logfile ] 

Weitere Informationen über die Verwendung von logprof erhalten Sie unter 

„logprof“ (S. 67). 

5 Wiederholen Sie die Schritte 3-4. Dadurch werden optimale Profile generiert. 

Eine iterative Methode erfasst kleinere Datenmengen, die gelernt und erneut in 

die Richtlinien-Engine geladen werden können. Nachfolgende Iterationen generieren 

weniger Meldungen und laufen schneller ab. 

6 Bearbeiten Sie die Profile. Sie sollten die Profile überprüfen, die generiert 

wurden. Sie können die Profile mithilfe von vim in /etc/apparmor.d/ öffnen 

und bearbeiten. Hilfe zur optimalen Verwendung von vim finden Sie unter 

„apparmor.vim“ (S. 74). 

7 Wechseln Sie wieder in den „Erzwingen“-Modus. Das System beginnt 

dann wieder, die Regeln der Profile durchzusetzen, nicht einfach nur Informationen 

zu protokollieren. Dies können Sie manuell ausführen, indem Sie den Text 

flags=(complain) aus den Profilen entfernen, oder automatisch, indem Sie 

den Befehl "enforce" verwenden, der wie der Befehl "complain" funktioniert, 

jedoch die Profile in den Erzwingen-Modus setzt. 

Um sicherzustellen, dass alle Profile aus dem Meldungsmodus in den Erzwingen- 

Modus versetzt werden, geben Sie enforce /etc/apparmor.d/* ein. 

8 Scannen Sie alle Profile neu. Damit Novell AppArmor alle Profile erneut 

scannt und den Erzwingen-Modus im Kernel ändert, geben Sie 

/etc/init.d/apparmor restart ein. 


3.5.3 Zusammenfassung der Profilwerkzeuge 

Alle Novell AppArmor-Profilwerkzeuge werden im RPM-Paket apparmor-utils 

zur Verfügung gestellt und die meisten sind unter /usr/sbin gespeichert. Die folgenden 

Abschnitte stellen jedes Werkzeug vor. 

autodep 

Erstellt ein vorläufiges Profil für das Programm oder die Anwendung, für die Sie das 

Werkzeug ausführen. Sie können vorläufige Profile für ausführbare Binärdateien und 

interpretierte Skriptprogramme generieren. Das resultierende Profil wird „vorläufig“ 

genannt, da es nicht notwendigerweise alle Profileinträge enthält, die das Programm 

braucht, um korrekt von Novell AppArmor eingeschränkt zu werden. Das minimale 

vorläufige autodep-Profil enthält wenigstens eine grundlegende include-Direktive, die 

grundlegende Profileinträge für die meisten Programme enthält. Für bestimmte Programmtypen 

generiert autodep ein ausführlicheres Profil. Das Profil wird durch den 

rekursiven Aufruf von ldd(1) mit den ausführbaren Programmen generiert, die in 

der Befehlszeile aufgelistet sind. 

Verwenden Sie zur Generierung eines vorläufigen Profils das Programm autodep. Das 

Programmargument kann entweder der einfache Name des Programms sein, den autodep 

beim Durchsuchen der Pfadvariablen Ihrer Shell findet, oder ein vollständig qualifizierter 

Pfad. Das Programm selbst kann einen beliebigen Typ haben (ELF-Binärformat, Shell- 

Skript, Perl-Skript usw.) und autodep generiert ein vorläufiges Profil, das durch 

anschließende dynamische Profilerstellung verbessert werden kann. 

Das resultierende vorläufige Profil wird in das Verzeichnis /etc/apparmor.d 

geschrieben. Dabei wird die Novell AppArmor-Konvention verwendet, das Profil nach 

dem absoluten Pfad anzugeben und die Schrägstriche (/) im Pfad jeweils durch einen 

Punkt (.) zu ersetzen. Die allgemeine Form von autodep besteht in der Eingabe des 

Folgenden in ein Terminalfenster während einer Anmeldung als root: 

autodep [ -d /path/to/profiles ] [program1 program2...] 

Wenn Sie den oder die Programmnamen nicht eingeben, werden Sie dazu aufgefordert. 

/path/to/profiles hat Vorrang vor dem Standardspeicherort /etc/apparmor 

.d. 

Um die Profilerstellung zu beginnen, müssen Sie Profile für jeden ausführbaren 

Hauptdienst anlegen, der Ihrer Anwendung angehört (alles, das keinem anderen Pro- 


gramm mit Profil untergeordnet ist). Das Auffinden aller solcher Programme hängt von 

der betreffenden Anwendung ab. Strategien zum Auffinden solcher Programme: 

Verzeichnisse 

Wenn sich alle Programme, für die Sie Profile erstellen möchten, in einem Verzeichnis 

befinden und keine anderen Programme in diesem Verzeichnis sind, erstellt der 

einfache Befehl autodep /path/to/your/programs/* nominale Profile 

für alle Programme in diesem Verzeichnis. 

ps-Befehl 

Sie können Ihre Anwendung ausführen und den Linux-Standardbefehl ps verwenden, 

um alle ablaufenden Prozesse zu finden. Sie müssen dann den Speicherort 

dieser Programme manuell ermitteln und für jedes das Programm autodep ausführen. 

Wenn sich die Programme auf Ihrem Pfad befinden, findet sie autodep für Sie. 

Wenn sie sich nicht auf Ihrem Pfad befinden, kann der Linux-Standardbefehl 

locate bei der Suche helfen. Wenn locate nicht funktioniert (es wird nicht 

standardmäßig auf SUSE Linux installiert), verwenden Sie find . -name 

'*foo*' -print. 

Meldungs- oder Lernmodus 

Das Meldungs- oder Lernmoduswerkzeug entdeckt Verletzungen von Novell AppArmor- 

Profilregeln, etwa wenn das Programm, für welches das Profil gilt, auf Dateien zugreift, 

die das Profil nicht gestattet. Die Verletzungen werden erlaubt, allerdings auch protokolliert. 

Um das Profil zu verbessern, aktivieren Sie den Meldungsmodus, führen Sie 

das Programm in einer Testfolge aus, um Protokollereignisse zu generieren, die den 

Zugriffsanforderungen des Programms entsprechen. Führen Sie dann eine Nachverarbeitung 

des Protokolls mit den Novell AppArmor-Werkzeugen aus, um Protokollereignisse 

in verbesserte Profile umzuwandeln. 

Manuelle Aktivierung des Meldungsmodus (über die Befehlszeile) fügt am Beginn des 

Profils eine Flag ein, d. h., /bin/foo wird zu /bin/foo flags=(complain). 

Öffnen Sie für die Verwendung des Meldungsmodus ein Terminalfenster und geben 

Sie eine der folgenden Zeilen als root-Benutzer ein. 

• Wenn sich das Beispielprogramm (program1) in Ihrem Pfad befindet, verwenden 

Sie: 

complain [program1 program2 ...] 


• Wenn sich das Programm nicht in Ihrem Pfad befindet, geben Sie den vollständigen 

Pfad wie folgt an: 

complain /sbin/program1 

• Wenn sich die Profile nicht in /etc/apparmor.d befinden, geben Sie Folgendes 

ein, um den Standardspeicherort zu überschreiben: 

complain /path/to/profiles/ program1 

• Geben Sie wie folgt das Profil für program1 an: 

complain /etc/apparmor.d/sbin.program1 

Jeder der obigen Befehle aktiviert den Meldungsmodus für die aufgelisteten Profile/Programme. 

Der Befehl kann Programme oder Profile auflisten. Wenn der Programmname 

nicht den vollständigen Pfad umfasst, durchsucht "complain" $PATH für das Programm. 

complain /usr/sbin/* findet also beispielsweise Profile, die mit allen Programmen 

in /usr/sbin verbunden sind, und setzt sie in den Meldungsmodus und 

complain /etc/apparmor.d/* setzt alle Profile in /etc/apparmor.d in 

den Meldungsmodus. 

Erzwingen-Modus 

Das Erzwingen-Modus-Werkzeug entdeckt Verletzungen von Novell AppArmor-Profilregeln, 

etwa wenn das Programm, für welches das Profil gilt, auf Dateien zugreift, 

die das Profil nicht gestattet. Die Verletzungen werden protokolliert und nicht erlaubt. 

Standardmäßig ist der Erzwingen-Modus aktiviert. Aktivieren Sie den Meldungsmodus, 

wenn die Novell AppArmor-Profile den Zugriff des Programms steuern sollen, für das 

ein Profil festgelegt wird. Erzwingen- und Meldungsmodus schließen sich gegenseitig 

aus. 

Manuelle Aktivierung des Erzwingen-Modus (über die Befehlszeile) fügt am Beginn 

des Profils eine Flag ein, d. h., /bin/foo wird zu /bin/foo flags=(enforce). 

Öffnen Sie für die Verwendung des Erzwingen-Modus ein Terminalfenster und geben 

Sie eine der folgenden Zeilen als root-Benutzer ein. 

• Wenn sich das Beispielprogramm (program1) in Ihrem Pfad befindet, verwenden 

Sie: 

enforce [program1 program2 ...] 


• Wenn sich das Programm nicht in Ihrem Pfad befindet, geben Sie den vollständigen 

Pfad wie folgt an: 

enforce /sbin/program1 

• Wenn sich die Profile nicht in /etc/apparmor.d befinden, geben Sie Folgendes 

ein, um den Standardspeicherort zu überschreiben: 

enforce /path/to/profiles/program1 

• Geben Sie wie folgt das Profil für program1 an: 

enforce /etc/apparmor.d/sbin.program1 

Jeder der obigen Befehle aktiviert den Erzwingen-Modus für die aufgelisteten Profile 

und Programme. 

Wenn Sie den oder die Programm- oder Profilnamen nicht eingeben, werden Sie dazu 

aufgefordert. /path/to/profiles hat Vorrang vor dem Standardspeicherort /etc/ 

apparmor.d. 

Das Argument kann entweder eine Liste von Programmen oder eine Liste von Profilen 

sein. Wenn der Programmname nicht den vollständigen Pfad umfasst, durchsucht 

"enforce" $PATH für das Programm. enforce /usr/sbin/* findet beispielsweise 

Profile, die mit allen Programmen in /usr/sbin verbunden sind, und setzt sie in den 

Erzwingen-Modus. enforce /etc/apparmor.d/* setzt alle Profile in /etc/ 

apparmor.d in den Erzwingen-Modus. 

genprof 

genprof (Profil erstellen) ist das Novell AppArmor-Dienstprogramm zur Profilerstellung. 

Es führt autodep am angegebenen Programm aus, erstellt ein vorläufiges Profil (falls 

nicht bereits ein Profil für das Programm existiert), setzt es in den Erzwingen-Modus, 

lädt es erneut in Novell AppArmor, markiert das Systemprotokoll und fordert den 

Benutzer auf, das Programm und seine Funktionalität auszuführen. Die Syntax lautet 

wie folgt: 

genprof [ -d /path/to/profiles ]program 

Wenn Sie ein Profil für das Apache-Webserver-Programm httpd2-prefork erstellen 

möchten, führen Sie Folgendes in einer root-Shell aus: 


1 Geben Sie rcapache2 stop ein. 

2 Geben Sie als Nächstes genprof httpd2-prefork ein. 

genprof führt nun folgende Aktionen aus: 

• Löst den vollständigen Pfad von httpd2-prefork basierend auf den Pfadvariablen 

Ihrer Shell auf. Sie können auch einen vollständigen Pfad angeben. 

Unter SUSE Linux lautet der vollständige Pfad /usr/sbin/ 

httpd2-prefork. 

• Prüft, ob ein bestehendes Profil für httpd2-prefork vorhanden ist. Wenn ja, 

wird dieses aktualisiert. Wenn nein, wird eines mithilfe des autodep-Programms 

erstellt (siehe Abschnitt 3.5.3, „Zusammenfassung der Profilwerkzeuge“ 

(S. 58)). 

ANMERKUNG 

Es gibt eine Namenskonvention für den vollständigen Pfad eines 

Programms zum Namen seiner Profildatei, damit die verschiedenen 

Novell AppArmor-Profilerstellungswerkzeuge sie konsistent manipulieren 

können. Die Konvention besteht darin, dass ein Schrägstrich 

(/) durch einen Punkt (.) ersetzt wird, d. h., das Profil für /usr/ 

sbin/httpd2-prefork wird in /etc/apparmor.d/usr.sbin 

.httpd2-prefork gespeichert. 

• Setzt das Profil für dieses Programm in den Lern- oder Meldungsmodus, 

damit Profilverletzungen protokolliert werden, das Programm aber fortfahren 

darf. Ein Protokollereignis sieht wie folgt aus: 

Oct 9 15:40:31 AppArmor: PERMITTING r access to 

/etc/apache2/httpd.conf (httpd2-prefork(6068) profile 

/usr/sbin/httpd2-prefork active /usr/sbin/httpd2-prefork) 

• Markiert Syslog mit einem Anfangskennzeichen für die zu beachtenden 

Protokollereignisse. Beispiel: 

Sep 13 17:48:52 h2o root: GenProf: e2ff78636296f16d0b5301209a04430d 


3 Wenn Sie vom Werkzeug dazu aufgefordert werden, führen Sie die Anwendung, 

für die Sie das Profil erstellen, in einem anderen Terminalfenster aus. Führen Sie 

möglichst viele der Anwendungsfunktionen aus, damit der Lernmodus die 

Dateien und Verzeichnisse protokollieren kann, auf die das Programm für eine 

korrekte Funktion zugreifen muss. Geben Sie beispielsweise rcapache2 

start in ein neues Terminalfenster ein. 

4 Wählen Sie, welche der folgenden Optionen benutzt werden kann, nachdem Sie 

die Funktionalität des Programms ausgeführt haben: 

• S führt logprof am Systemprotokoll aus und zwar ab der Stelle, die beim 

Start von genprof markiert wurde, und lädt das Profil neu. 

Wenn das Protokoll Systemereignisse enthält, analysiert Novell AppArmor 

die Lernmodus-Protokolldateien. Damit wird eine Serie von Fragen erzeugt, 

die Sie beantworten müssen, um genprof beim Generieren des Sicherheitsprofils 

zu lenken. 

• F beendet das Werkzeug und kehrt in das Hauptmenü zurück. 

ANMERKUNG 

Wenn Anforderungen zum Erstellen von Hats auftreten, fahren Sie mit 

Kapitel 5, Erstellen von Profilen für Ihre Webanwendungen mit ChangeHat 

Apache (S. 113) fort. 

5 Beantworten Sie zwei Arten von Fragen: 


nicht im Profil befindet (siehe Beispiel 3.1, „Lernmodus-Ausnahme: Kontrolle 

des Zugriffs auf bestimmte Ressourcen“ (S. 64)). 

• Ein Programm wird von dem Programm mit Profil ausgeführt, der Wechsel 

der Sicherheitsdomäne wurde nicht definiert (siehe Beispiel 3.2, „Lernmodus- 

Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag“ 

(S. 65)). 

Jede dieser Kategorien führt zu einer Serie von Fragen, die Sie beantworten 

müssen, um dem Profil die Ressource oder das Programm hinzuzufügen. Die 

folgenden beiden Abbildungen zeigen ein Beispiel für den jeweiligen Fall. 


Nachfolgende Schritte beschreiben Ihre Möglichkeiten bei der Beantwortung 

dieser Fragen. 

Beispiel 3.1 Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen 

Reading log entries from /var/log/messages. 

Aktualisieren von apparmor-Profilen in /etc/apparmor.d. 

Profile: /usr/sbin/xinetd 

Execute: /usr/sbin/vsftpd 

[(I)nherit] / (P)rofile / (U)nconfined / (D)eny / Abo(r)t / (F)inish) 

Der Umgang mit Ausführungszugriffen ist komplex. Sie müssen entscheiden, 

welche der drei Arten von Ausführungsberechtigungen Sie dem Programm 

gewähren möchten: 

inherit (ix) 

Das untergeordnete Programm erbt das Profil des übergeordneten Programms 

und läuft mit denselben Zugriffsberechtigungen wie das übergeordnete Programm. 

Dieser Modus ist nützlich, wenn ein eingeschränktes Programm ein 

anderes eingeschränktes Programm aufrufen muss, ohne die Berechtigungen 

des Zielprofils zu erhalten oder die Berechtigungen des aktuellen Profils zu 

verlieren. Dieser Modus wird häufig benutzt, wenn das untergeordnete Programm 

eine Hilfsanwendung ist, wie der /usr/bin/mail-Client, der das 

Programm less zur seitenweisen Ausgabe verwendet, oder der Mozilla- 

Webbrowser, der das Acrobat-Programm zur Anzeige von PDF-Dateien 

nutzt. 

profile (px) 

Das untergeordnete Programm läuft mit seinem eigenen Profil ab, das in den 

Kernel geladen werden muss. Wenn das Profil nicht vorhanden ist, schlagen 

Ausführungsversuche des untergeordneten Programms mit abgelehnter 

Berechtigung fehl. Dies ist besonders nützlich, wenn das übergeordnete 

Programm einen globalen Dienst aufruft, z. B. DNS-Lookups oder das Senden 

von Mail über den MTA Ihres Systems. 

unconfined (ux) 

Das untergeordnete Programm läuft uneingeschränkt ohne ein Novell 

AppArmor-Profil für die ausgeführte Ressource. 


Beispiel 3.2 Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für 

einen Eintrag 

Adding /bin/ps ix to profile. 

Profile: /usr/sbin/xinetd 

Path: /etc/hosts.allow 

New Mode: r 

[1 - /etc/hosts.allow] 

[(A)llow] / (D)eny / (N)ew / (G)lob / Glob w/(E)xt / Abo(r)t / (F)inish 

Das obige Menü zeigt, wie Novell AppArmor Verzeichnispfad-Einträge vorschlägt, 

auf die die Anwendung, für die Sie ein Profil erstellen, zugegriffen hat. 

Eventuell wird auch verlangt, dass Sie Ausführungsberechtigungen für Einträge 

definieren. 

Novell AppArmor bietet einen oder mehrere Pfadnamen oder include-Dateien 

an. Klicken Sie auf eine oder mehrere Optionsnummern, um eine oder mehrere 

der folgenden Optionen auszuwählen, und fahren Sie dann mit dem nächsten 

Schritt fort. 

ANMERKUNG 

Es werden nicht immer alle diese Optionen im Novell AppArmor-Menü 

angeboten. 

#include 

Dies ist der Abschnitt eines Novell AppArmor-Profils, der auf eine include- 

Datei verweist, die Zugriffsberechtigungen für Programme vermittelt. Durch 

Verwenden einer include-Anweisung können Sie dem Programm Zugriff 

auf Verzeichnispfade oder Dateien geben, die auch von anderen Programmen 

benötigt werden. Mithilfe von include-Anweisungen lässt sich die Größe 

eines Profils verringern. Es empfiehlt sich, include-Anweisungen zu wählen, 

wenn diese vorgeschlagen werden. 


Der Zugriff erfolgt durch Klicken auf Glob, wie im nächsten Schritt beschrieben. 





Dies ist der buchstabengetreu angegebene Pfad, auf den das Programm 

zugreifen muss, damit es reibungslos ablaufen kann. 

6 Nach der Wahl des Pfadnamens oder der include-Datei müssen Sie diese als 

einen Eintrag im Novell AppArmor-Profil festlegen, indem Sie auf Allow 

(Erlauben) oder Deny (Ablehnen) klicken. Wenn Sie nicht mit dem angezeigten 

Eintrag des Verzeichnispfads einverstanden sind, können Sie ihn durch Glob 

oder Edit (Bearbeiten) ändern. 



Enter drücken 

Erlaubt Zugriff auf den ausgewählten Verzeichnispfad. 


Erlaubt Zugriff auf die angegebenen Verzeichnispfad-Einträge. Novell 

AppArmor schlägt Dateizugriffsberechtigung vor. Weitere Informationen 

finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ 

(S. 77). 


Hindert das Programm am Zugriff auf die angegebenen Verzeichnispfad- 

Einträge. Novell AppArmor geht dann zum nächsten Ereignis weiter. 

Neu 

Fordert Sie auf, Ihre eigene Regel für dieses Ereignis einzugeben. Sie können 

eine beliebige Form eines regulären Ausdrucks angeben. Wenn der eingegebene 

Ausdruck keine Lösung für das Ereignis darstellt, das die Frage ausgelöst 

hat, bittet Novell AppArmor um eine Bestätigung und gestattet Ihnen, 

den Ausdruck erneut einzugeben. 

Glob 







Weitere Informationen zu Syntax mit Platzhaltern finden Sie unter 



Durch Klicken auf diese Option wird der ursprüngliche Verzeichnispfad 

unter Beibehaltung der Dateinamenerweiterung geändert. Beispiel: /etc/ 

apache2/file.ext wird zu /etc/apache2/*.ext und der Platzhalter 

(Sternchen) wird anstelle des Dateinamens hinzugefügt. Damit kann 

das Programm auf alle Dateien, die mit der Erweiterung .ext enden, im 

vorgeschlagenen Verzeichnis zugreifen. Durch Doppelklicken auf diese 



Bearbeiten 

Ermöglicht die Bearbeitung der ausgewählten Zeile. Die neue bearbeitete 


Abbrechen 



Beenden 



7 Um Ihr Profil mithilfe von vim anzuzeigen und zu bearbeiten, geben Sie vim 

/etc/apparmor.d/profilname in ein Terminalfenster ein. Wenn Sie 

beim Bearbeiten eines Novell AppArmor-Profils in vim Syntaxfarben aktivieren 

möchten, verwenden Sie die Befehle :syntax on und dann :set 

syntax=apparmor. Weitere Informationen zu vim und Syntaxfarben finden 

Sie unter „apparmor.vim“ (S. 74). 

logprof 

logprof ist ein interaktives Werkzeug zur Anzeige der Ausgabe des Lern- und Meldungsmodus 

in den Syslog-Einträgen und der anschließenden Generierung von neuen Einträgen 

in Novell AppArmor-Sicherheitsprofilen. 

Wenn Sie logprof ausführen, beginnt es, die Protokolldateien zu scannen, die im Lernoder 

Meldungsmodus erzeugt wurden, und wenn Sicherheitsereignisse vorhanden sind, 


die nicht durch den bestehenden Profilsatz abgedeckt werden, schlägt es Änderungen 

des Profils vor. Der Lern- oder Meldungsmodus verfolgt das Programmverhalten und 

zeichnet es in Syslog auf. logprof verwendet diese Information zur Beobachtung des 

Programmverhaltens. 

Wenn ein eingeschränktes Programm ein anderes Programm mit "fork" und "exec" 

ausführt, erkennt logprof dies und fragt den Benutzer, welcher Ausführungsmodus beim 

Start des untergeordneten Prozesses verwendet werden soll. Die folgenden Ausführungsmodi 

sind Optionen für das Starten des untergeordneten Prozesses: ix, px und ux. Wenn 

für den untergeordneten Prozess ein separates Profil existiert, ist px die Standardauswahl. 

Wenn keines existiert, wird standardmäßig ix für das Profil angegeben. An untergeordneten 

Prozessen mit separaten Profilen wird autodep ausgeführt und sie werden in 

Novell AppArmor geladen, falls dieses läuft. 

Beim Beenden von logprof werden Profile mit den Änderungen aktualisiert. Wenn das 

AppArmor-Modul ausgeführt wird, werden die aktualisierten Profile neu geladen. Und 

wenn Prozesse, die Sicherheitsereignisse generiert haben, noch im Null-Complain- 

Profil (ohne Meldungen) ausgeführt werden, werden diese Prozesse so eingestellt, dass 

sie unter ihren korrekten Profilen laufen. 

Sie führen logprof aus, indem Sie logprof in ein Terminalfenster eingeben, während 

Sie als root angemeldet sind. Sie können auch die folgenden Optionen für logprof verwenden. 

logprof -d /path/to/profile/directory/ 

Gibt den vollständigen Pfad zu den Profilen an, wenn sich die Profile nicht im 

Standardverzeichnis /etc/apparmor.d/ befinden. 

logprof -f /path/to/logfile/ 

Gibt den vollständigen Pfad zu der Protokolldatei an, wenn sich die Protokolldatei 

nicht im Standardverzeichnis /var/log/messages befindet. 

logprof -m "string marker in logfile" 

Markiert den Anfangspunkt, ab dem logprof im Systemprotokoll nachsieht. logprof 

ignoriert alle Ereignisse im Systemprotokoll, die vor der angegebenen Marke liegen. 

Wenn die Marke Leerzeichen enthält, muss sie mit Hochkommas umgeben werden, 

damit sie korrekt funktioniert. Beispiel: logprof -m 

e2ff78636296f16d0b5301209a04430d 


logprof scannt das Protokoll und fragt Sie, wie jedes protokollierte Ereignis behandelt 

werden soll. Jede Frage präsentiert eine nummerierte Liste von Novell AppArmor- 

Regeln, die durch Drücken der Zahl des jeweiligen Listeneintrags hinzugefügt werden 

können. 

Standardmäßig sucht logprof Profile in /etc/apparmor.d/ und scannt das Protokoll 

in /var/log/messages. Es reicht also in vielen Fällen, logprof als root auszuführen, 

um das Profil zu erstellen. 

Gelegentlich müssen jedoch archivierte Protokolldateien durchsucht werden, z. B. wenn 

die Ausführungsdauer des Programms das Protokollrotationsfenster überschreitet (wenn 

die Protokolldatei archiviert und eine neue Protokolldatei begonnen wird). In diesem 

Fall können Sie zcat -f `ls -1tr /var/log/messages*` | logprof 

-f - eingeben. 

logprof-Beispiel 1 

Nachfolgend erhalten Sie ein Beispiel dafür, wie logprof die Situation behandelt, wenn 

httpd2-prefork auf die Datei /etc/group zugreift. Das Beispiel verwendet [], um 

die Standardoption anzugeben. 

In diesem Beispiel ist der Zugriff auf /etc/group Teil von httpd2-prefork, das auf 

Namensdienste zugreift. Die passende Antwort lautet 1, was einen vordefinierten Satz 

von Novell AppArmor-Regeln abruft. Wenn Sie 1 wählen, um das Namensdienst-Paket 

als #include aufzunehmen, werden alle zukünftigen Fragen hinsichtlich DNS-Lookups 

erledigt und das Profil wird weniger labil, d. h.. — Änderungen an der DNS-Konfiguration 

und am zugehörigen Namensdienst-Profilpaket brauchen nur einmal zu erfolgen, 

ohne dass viele Profile überarbeitet werden müssen. 

Profile: /usr/sbin/httpd2-prefork 

Path: /etc/group 

New Mode: r 

[1 - #include ] 

2 - /etc/group 

[(A)llow] / (D)eny / (N)ew / (G)lob / Glob w/(E)xt / Abo(r)t / (F)inish 

Wählen Sie eine der folgenden Antworten: 

Enter drücken 

Erlaubt Zugriff auf den ausgewählten Verzeichnispfad. 



Erlaubt Zugriff auf die angegebenen Verzeichnispfad-Einträge. Novell AppArmor 

schlägt Dateizugriffsberechtigung vor. Weitere Informationen dazu finden Sie unter 

Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (S. 77). 


Hindert das Programm am Zugriff auf die angegebenen Verzeichnispfad-Einträge. 

Novell AppArmor geht dann zum nächsten Ereignis weiter. 

Neu 

Fordert Sie auf, Ihre eigene Regel für dieses Ereignis einzugeben. Sie können eine 

beliebige Form eines regulären Ausdrucks angeben. Wenn der eingegebene Ausdruck 

keine Lösung für das Ereignis darstellt, das die Frage ausgelöst hat, bittet 

Novell AppArmor um eine Bestätigung und gestattet Ihnen, den Ausdruck erneut 

einzugeben. 

Glob 

Durch Klicken auf diese Option wird der Verzeichnispfad (durch Verwendung von 

Platzhaltern) so geändert, dass er alle Dateien im vorgeschlagenen Eintragsverzeichnis 

umfasst. Durch Doppelklicken auf diese Option wird der Zugriff auf alle 

Dateien und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt. 

Weitere Informationen zur Syntax mit Platzhaltern finden Sie unter Abschnitt 3.6, 

„Pfadnamen und Platzhalter“ (S. 76). 


Durch Klicken auf diese Option wird der ursprüngliche Verzeichnispfad unter 

Beibehaltung der Dateinamenerweiterung geändert. Beispiel: /etc/apache2/ 

file.ext wird zu /etc/apache2/*.ext und der Platzhalter (Sternchen) 

wird anstelle des Dateinamens hinzugefügt. Damit kann das Programm auf alle 

Dateien, die mit der Erweiterung .ext enden, im vorgeschlagenen Verzeichnis 

zugreifen. Durch Doppelklicken auf diese Option wird der Zugriff auf alle Dateien 

(mit der angegebenen Erweiterung) und Unterverzeichnisse unterhalb des angezeigten 


Bearbeiten 

Ermöglicht die Bearbeitung der ausgewählten Zeile. Die neue bearbeitete Zeile 

erscheint am Ende der Liste. 


Abbrechen 

Bricht logprof ab, verwirft alle bereits eingegebenen Regeländerungen und belässt 

die Profile unverändert. 

Beenden 

Beendet logprof, speichert alle bereits eingegebenen Regeländerungen und ändert 

alle Profile entsprechend. 

logprof-Beispiel 2 

In einem Beispiel aus der Profilerstellung für vsftpd wird diese Frage angezeigt: 

Profile: /usr/sbin/vsftpd 

Path: /y2k.jpg 

New Mode: r 

[1 - /y2k.jpg] 

(A)llow / [(D)eny] / (N)ew / (G)lob / Glob w/(E)xt / Abo(r)t / (F)inish 

Diese Frage umfasst mehrere interessante Elemente. Beachten Sie zunächst, dass vsftpd 

am Beginn der Struktur nach einem Pfadeintrag fragt, obwohl vsftpd in SUSE Linux 

standardmäßig FTP-Dateien aus /srv/ftp bereitstellt. Das liegt daran, dass httpd2prefork 

Chroot verwendet und Novell AppArmor für den Teil des Codes im Chroot- 

Jail Dateizugriffe in Bezug auf die Chroot-Umgebung sieht und nicht im globalen 

absoluten Pfad. 

Der zweite interessante Punkt ist, dass Sie FTP-Lesezugriff auf alle JPEG-Dateien im 

Verzeichnis gewähren sollten. Sie könnten also Glob mit Erw und den vorgeschlagenen 

Pfad von /*.jpg verwenden. Dann würden alle vorherigen Regeln verworfen, die 

Zugriff auf einzelne .jpg-Dateien gewährt haben, und zukünftige Fragen hinsichtlich 

des Zugriffs auf .jpg-Dateien würden unterbunden. 

Zuletzt sollten Sie einen allgemeineren Zugriff auf FTP-Dateien gewähren. Wenn Sie 

im letzten Eintrag Glob wählen, ersetzt logprof den vorgeschlagenen Pfad /y2k.jpg 

durch /*. Sie können sogar noch mehr Zugriff auf die ganze Verzeichnisstruktur 

gewähren, indem Sie die Pfadoption New (Neu) verwenden und /**.jpg eingeben 

(wodurch Zugriff auf alle .jpg-Dateien in der ganzen Verzeichnisstruktur gewährt 

wird) oder /** (wodurch Zugriff auf alle Dateien in der ganzen Verzeichnisstruktur 

gewährt wird). 


Bei Obigem handelt es sich um Lesezugriffe. Schreibzugriffe sind ähnlich, jedoch ist 

es empfehlenswert, reguläre Ausdrücke für den Schreibzugriff zurückhaltender zu 

verwenden. 

Der Umgang mit Ausführungszugriffen ist komplexer. Sie müssen entscheiden, welche 

der drei Arten von Ausführungsberechtigungen Sie gewähren möchten: 

inherit (ix) 

Das untergeordnete Programm erbt das Profil des übergeordneten Programms und 

läuft mit denselben Zugriffsberechtigungen wie das übergeordnete Programm. 

Dieser Modus ist nützlich, wenn ein eingeschränktes Programm ein anderes eingeschränktes 

Programm aufrufen muss, ohne die Berechtigungen des Zielprofils zu 

erhalten oder die Berechtigungen des aktuellen Profils zu verlieren. Dieser Modus 

wird häufig benutzt, wenn das untergeordnete Programm eine Hilfsanwendung ist, 

wie der /usr/bin/mail-Client, der das Programm less zur seitenweisen Ausgabe 

verwendet, oder der Mozilla-Webbrowser, der das Acrobat-Programm zur 

Anzeige von PDF-Dateien nutzt. 

profile (px) 

Das untergeordnete Programm läuft mit seinem eigenen Profil ab, das in den Kernel 

geladen werden muss. Wenn das Profil nicht vorhanden ist, schlagen Ausführungsversuche 

des untergeordneten Programms mit abgelehnter Berechtigung fehl. Dies 

ist besonders nützlich, wenn das übergeordnete Programm einen globalen Dienst 

aufruft, z. B. DNS-Lookups oder das Senden von Mail über den MTA Ihres Systems. 

unconfined (ux) 

Das untergeordnete Programm läuft uneingeschränkt ohne ein Novell AppArmor- 

Profil für die ausgeführte Ressource. 

Im folgenden Beispiel wird für den Mailclient /usr/bin/mail ein Profil erstellt 

und logprof hat festgestellt, dass /usr/bin/mail als Hilfsanwendung 

/usr/bin/less ausführt, um lange Mail-Nachrichten „seitenweise“ auszugeben. 

Daher präsentiert es diese Eingabe-Aufforderung: 

/usr/bin/nail -> /usr/bin/less 

(I)nherit / (P)rofile / (U)nconstrained / (D)eny 

TIPP 

Die aktuelle ausführbare Datei für /usr/bin/mail ist /usr/bin/nail, 

wobei es sich um keinen Schreibfehler handelt. 


usr/bin/less scheint ein einfaches Programm zum Abrollen von Text zu sein, 

der länger als eine Bildschirmseite ist, wofür /usr/bin/mail es auch verwendet. 

Jedoch ist less tatsächlich ein umfangreiches und leistungsstarkes Programm, das viele 

andere Hilfsanwendungen nutzt, wie etwa tar und rpm. 

TIPP 

Führen Sie less an einem Tarball oder einer RPM-Datei aus, dann sehen Sie 

das Inhaltsverzeichnis dieser Container. 

Sie sollten rpm beim Lesen von Mail-Nachrichten nicht automatisch ausführen (das 

führt direkt zu Virusangriffen im Stil von Microsoft* Outlook, da rpm Systemprogramme 

installieren und ändern kann), daher entscheiden Sie sich in diesem Fall am besten für 

Inherit (Erben). Das Programm less wird dann in diesem Kontext unter dem Profil für 

/usr/bin/mail ausgeführt. Das hat zwei Folgen: 

• Sie müssen alle grundlegenden Dateizugriffe für /usr/bin/less dem Profil 

für /usr/bin/mail hinzufügen. 

• Sie können vermeiden, die Hilfsanwendungen wie tar und rpm dem Profil von 

/usr/bin/mail hinzuzufügen. Wenn dann /usr/bin/mail in diesem 

Kontext /usr/bin/mail/less ausführt, ist das Programm less viel weniger 

gefährlich als es ohne Novell AppArmor-Schutz wäre. 

Unter anderen Umständen sollten Sie stattdessen die Option Profil verwenden. Das hat 

zwei Auswirkungen auf logprof: 

• Die in das Profil geschriebene Regel ist px, was den Wechsel zum eigenen Profil 

des untergeordneten Programms erzwingt. 

• logprof konstruiert ein Profil für das untergeordnete Programm und beginnt dessen 

Erstellung auf die gleiche Weise wie das übergeordnete Profil, indem es Ereignisse 

für den untergeordneten Prozess in das Profil für das untergeordnete Programm 

schreibt und dem logprof-Benutzer dieselben Fragen wie oben stellt. 

Zuletzt sollten Sie dem untergeordneten Prozess sehr leistungsstarken Zugriff gewähren, 

indem Sie Unconfined (Uneingeschränkt) angeben. Dies schreibt ux in das Profil des 

übergeordneten Programms. Wenn also das untergeordnete Programm abläuft, wird es 

ohne jegliches Novell AppArmor-Profil ausgeführt. Das bedeutet eine Ausführung ohne 

jeglichen Schutz und sollte nur verwendet werden, wenn unbedingt nötig. 


apparmor.vim 

Eine Syntaxfarbgebungsdatei für den Texteditor vim markiert verschiedene Funktionen 

eines Novell AppArmor-Profils mit Farben. Durch die Verwendung von vim und dem 

Novell AppArmor-Syntaxmodus für vim können Sie die semantischen Implikationen 

Ihrer Profile anhand von farblichen Markierungen sehen. Verwenden Sie vim, um Ihr 

Profil anzuzeigen und zu bearbeiten, indem Sie "vim" in ein Terminalfenster eingeben. 

Wenn Sie beim Bearbeiten eines Novell AppArmor-Profils in vim Syntaxfarben aktivieren 

möchten, verwenden Sie die Befehle :syntax on und dann :set 

syntax=apparmor. Alternativ können Sie diese Zeilen in Ihre Datei ~/.vimrc 

eingeben: 

syntax on 

set modeline 

set modelines=5 

Wenn Sie diese Funktion aktivieren, färbt vim die Zeilen des Profils für Sie: 

Blau 

#include-Zeilen, die andere Novell AppArmor-Regeln abrufen, und Kommentare, 

die mit # beginnen 

Weiß 

Zeilen für normalen Lesezugriff 

Braun 

Funktionsanweisungen und Meldungsflags 

Gelb 

Zeilen, die Schreibzugriff gewähren 

Grün 

Zeilen, die Ausführungsberechtigung gewähren (ix oder px) 

Rot 

Zeilen, die uneingeschränkten Zugriff gewähren (ux) 

Roter Hintergrund 

Syntaxfehler, die nicht korrekt in die AppArmor-Module geladen werden 


ANMERKUNG 

Bei der Verwendung dieser Zeilen in Ihrer .vimrc-Datei besteht ein Sicherheitsrisiko, 

da sie vim veranlassen, dem Syntaxmodus in den Dateien zu vertrauen, 

die Sie bearbeiten. Das kann einem Angreifer ermöglichen, Ihnen eine Datei 

zu senden, die mit vim geöffnet wird und schädliche Aktionen ausführt. 

Verwenden Sie die Manualpages apparmor.vim und vim und die Syntax :help 

im vim-Editor, um weitere vim-Hilfe zur Syntaxmarkierung zu erhalten. Die Novell 

AppArmor-Syntax wird in /usr/share/vim/current/syntax/apparmor 

.vim gespeichert. 


Der Befehl unconfined prüft offene Netzwerkports auf Ihrem System, vergleicht 

diese mit dem auf dem System geladenen Profilsatz und meldet Netzwerkdienste, die 

über kein Novell AppArmor-Profil verfügen. Er benötigt root-Berechtigung und darf 

nicht durch ein Novell AppArmor-Profil eingeschränkt sein. 

unconfined muss als root ausgeführt werden, um den Link auf das im Prozess ausgeführte 

Programm aus dem proc-Dateisystem abzurufen. Dieses Programm hat Probleme 

bei den folgenden zeitabhängigen Konflikten: 

• Ein gelöschter Eintrag für eine ausführbare Datei wird falsch behandelt. 

• Eine ausführbare Datei, die vor dem Laden eines Novell AppArmor-Profils gestartet 

wurde, wird nicht in der Ausgabe angezeigt, obwohl sie ohne Einschränkung ausgeführt 

wird. 

• Ein Prozess, der zwischen netstat(8) und weiteren Prüfungen "stirbt", wird 

falsch behandelt. 

ANMERKUNG 

Dieses Programm listet nur Prozesse auf, die TCP und UDP verwenden. Kurz 

gesagt eignet sich dieses Programm nicht zum Nachweis von Abläufen und ist 

nur als Hilfe dafür gedacht, Profile für alle im Netzwerk zugänglichen Prozesse 

im Labor zu erstellen. 


Weitere Informationen über die Theorie und Sicherheit von Novell AppArmor finden 

Sie in den folgenden Arbeiten: 

SubDomain: Parsimonious Server Security (Sparsame Serversicherheit) von Crispin 

Cowan, Steve Beattie, Greg Kroah-Hartman, Calton Pu, Perry Wagle und Virgil Gligor 

Beschreibt die anfängliche Entwicklung und Implementierung von Novell 

AppArmor. Herausgegeben in den Veröffentlichungen der USENIX LISA Conference, 

Dezember 2000, New Orleans, LA. 

Diese Arbeit ist nun veraltet und beschreibt Syntax und Funktionen, die sich vom 

aktuellen Novell AppArmor-Produkt unterscheiden. Sie sollte nur als wissenschaftlicher 

Hintergrund und nicht für technische Dokumentation verwendet werden. 

Defcon Capture the Flag: Defending Vulnerable Code from Intense Attack (Verteidigung 

von anfälligem Code vor intensiven Angriffen) von Crispin Cowan, Seth Arnold, Steve 

Beattie, Chris Wright und John Viega 

Eine gute Anleitung für den strategischen und taktischen Einsatz von Novell 

AppArmor zur Lösung ernster Sicherheitsprobleme innerhalb kürzester Zeit. Herausgegeben 

in den Veröffentlichungen der DARPA Information Survivability 

Conference und Expo (DISCEX III), April 2003, Washington, DC. 

3.6 Pfadnamen und Platzhalter 

Platzhalter (zum Abgleich regulärer Ausdrücke) werden verwendet, um den Verzeichnispfad 

so zu ändern, dass eine Gruppe von Dateien oder Unterverzeichnissen berücksichtigt 

wird. Dateiressourcen können mit einer Platzhaltersyntax angegeben werden, 

die derjenigen von gängigen Shells gleicht, wie csh, bash und zsh. 

* 

** 

76 Novell AppArmor 2.0-Administrationshandbuch 

Ersetzt eine beliebige Anzahl an Zeichen, außer 

/. 

Beispiel: Eine beliebige Anzahl an Pfadelementen, 

einschließlich ganzer Verzeichnisse. 

Ersetzt eine beliebige Anzahl an Zeichen, einschließlich 

/.

? 

[abc] 

[a-c] 

{ab,cd} 

Beispiel: Eine beliebige Anzahl an Pfadelementen, 

einschließlich ganzer Verzeichnisse. 

Ersetzt ein beliebiges Einzelzeichen, außer /. 

Ersetzt das Einzelzeichen a, b oder c 

Beispiel: Eine Regel, die 

/home[01]/*/.plan entspricht, erlaubt 

einem Programm den Zugriff auf .plan-Dateien 

für Benutzer in /home0 und /home1. 

Ersetzt das Einzelzeichen a, b oder c 

Wird erweitert auf eine Regel, die ab entspricht, 

und eine Regel, die cd entspricht. 

Beispiel: Eine Regel, die 

/{usr,www}/pages/** entspricht, gewährt 

Zugriff auf Webseiten in /usr/pages und 

/www/pages. 

3.7 Modi für 

Dateizugriffsberechtigungen 

Modi für Dateizugriffsberechtigungen bestehen aus Kombinationen der folgenden sechs 

Modi: 

r 

w 

px 

ux 

Lese-Modus 

Schreibmodus 

Ausführungsmodus für Einzelprofile 

uneingeschränkter Ausführungsmodus 


ix 

l 

3.7.1 Lese-Modus 

vererbter Ausführungsmodus 

Link-Modus 

Gestattet dem Programm Lesezugriff auf die Ressource. Lesezugriff ist erforderlich 

für Shell-Skripts und anderen interpretierten Inhalt und bestimmt, ob ein ausgeführter 

Prozess einen Speicherauszug erzeugen oder mit ptrace(2) untersucht werden kann. 

(ptrace(2) wird mit Dienstprogrammen wie strace(1), ltrace(1) und 

gdb(1) verwendet.) 

3.7.2 Schreibmodus 

Gestattet dem Programm Schreibzugriff auf die Ressource. Dateien müssen über diese 

Berechtigung verfügen, wenn sie ausgetragen (entfernt) werden sollen. 

3.7.3 Ausführungsmodus für Einzelprofile 

Dieser Modus verlangt, dass ein einzelnes Sicherheitsprofil für eine Ressource definiert 

wird, die bei einem Novell AppArmor-Domänenwechsel ausgeführt wird. Wenn kein 

Profil definiert ist, wird der Zugriff verweigert. Inkompatibel mit den Ausführungseinträgen 

inherit und unconstrained. 

3.7.4 Uneingeschränkter Ausführungsmodus 

Gestattet dem Programm, die Ressource auszuführen, ohne dass ihr ein Novell 

AppArmor-Profil zugewiesen wird. Erfordert auch die Angabe des Ausführungsmodus. 

Inkompatibel mit den Ausführungseinträgen inherit und discrete profile. 

Dieser Modus ist nützlich, wenn ein eingeschränktes Programm eine privilegierte 

Operation ausführen muss, z. B. einen Neustart des Rechners. Indem Sie den privilegierten 

Abschnitt in ein anderes ausführbares Programm setzen und uneingeschränkte 

Ausführungsberechtigung gewähren, können Sie die obligatorischen Einschränkungen 


umgehen, die für alle eingeschränkten Prozesse gelten. Weitere Informationen zu den 

Einschränkungen finden Sie auf der Manualpage apparmor(7). 

3.7.5 Vererbter Ausführungsmodus 

Verhindert den normalen Novell AppArmor-Domänenwechsel beim 

execve(2)-Systemaufruf, wenn das Programm, für welches das Profil gilt, die Ressource 

ausführt. Stattdessen erbt die ausgeführte Ressource das aktuelle Profil. 

Inkompatibel mit den Ausführungseinträgen unconstrained und discrete profile. Dieser 

Modus ist nützlich, wenn ein eingeschränktes Programm ein anderes eingeschränktes 

Programm aufrufen muss, ohne die Berechtigungen des Zielprofils zu erhalten oder die 

Berechtigungen des aktuellen Profils zu verlieren. Dieser Modus wird selten verwendet. 

3.7.6 Link-Modus 

Der Link-Modus vermittelt Zugriff auf symbolische Links und Hardlinks und die 

Berechtigung, Dateien auszutragen (oder zu löschen). Beim Anlegen eines Links muss 

die betroffene Datei über dieselben Zugriffsberechtigungen verfügen wie der erstellte 

Link (mit der Ausnahme, dass das Ziel keinen Link-Zugriff besitzt). 


Verwalten von Anwendungen mit 

Profilen 

Nach dem Erstellen von Profilen und Immunisieren Ihrer Anwendungen wird SUSE 

Linux effizienter und besser geschützt, wenn Sie die Novell AppArmor-Profilwartung 

ausführen, die das Ermitteln von häufigen Problemen umfasst. Sie können übliche 

Schwachstellen bereinigen, bevor sie zu einem Problem werden, indem Sie die Ereignisbenachrichtigung 

per E-Mail einrichten, regelmäßige Berichte generieren, Profile 

aus Systemprotokolleinträgen aktualisieren (was im Wesentlichen aus dem Ausführen 

des Werkzeugs logprof durch YaST besteht) und Wartungsprobleme lösen. Anleitungen 

für jede dieser Aufgaben erhalten Sie unter: 

• Abschnitt 4.1, „Überwachen Ihrer geschützten Anwendungen“ (S. 81) 

• Abschnitt 4.5, „Pflegen Ihrer Sicherheitsprofile“ (S. 109). 

4.1 Überwachen Ihrer geschützten 

Anwendungen 

Anwendungen, die durch Novell AppArmor-Sicherheitsprofile eingeschränkt sind, 

generieren Meldungen, sobald sie auf unerwartete Weise oder außerhalb ihres festgelegten 

Profils ausgeführt werden. Diese Meldungen lassen sich durch Ereignisbenachrichtigung, 

Generieren regelmäßiger Berichte oder Einbindung in den Berichtmechanismus 

eines Drittanbieters überwachen. Die folgenden Abschnitte enthalten Einzelheiten 

für die Verwendung dieser Funktionen und Verweise auf weitere Ressourcen. 

• Abschnitt 4.2, „Einrichten der Ereignisbenachrichtigung“ (S. 82) 

4 

Verwalten von Anwendungen mit Profilen 81

• Abschnitt 4.3, „Berichte“ (S. 86) 

• Abschnitt 4.4, „Reaktion auf Sicherheitsereignisse“ (S. 108) 

4.2 Einrichten der 

Ereignisbenachrichtigung 

Sicherheitsereignisbenachrichtigung ist eine Novell AppArmor-Funktion, die einen 

angegebenen E-Mail-Empfänger benachrichtigt, wenn eine systemabhängige Novell 

AppArmor-Aktivität auftritt. Diese Funktion steht derzeit über YaST zur Verfügung. 

Wenn Sie eine E-Mail-Adresse eingeben, werden Sie bei Eintreten eines Novell 

AppArmor-Sicherheitsereignisses per E-Mail benachrichtigt. Sie können die folgenden 

drei Benachrichtigungstypen aktivieren: 

Terse (Knapp) 

Knappe Benachrichtigungen fassen die Gesamtanzahl an Systemereignissen ohne 

Einzelheiten zusammen. Beispiel: 

dhcp-101.up.wirex.com has had 10 security events since Tue Oct 12 11:10:00 

2004 

Summary Notification (Zusammenfassungsbenachrichtigung) 

Die Zusammenfassungsbenachrichtigung zeigt die protokollierten Novell AppArmor-Sicherheitsereignisse 

und listet die Häufigkeit sowie das Datum des letzten 

Auftretens auf. Beispiel: 

AppArmor: PERMITTING access to capability ’setgid’ (httpd2-prefork(6347) 

profile /usr/sbin/httpd2-prefork active /usr/sbin/httpd2-prefork) 2 times, 

the latest at Sat Oct 9 16:05:54 2004. 

Verbose Notification (Umfassende Benachrichtigung) 

Die umfassende Benachrichtigung zeigt unveränderte, protokollierte Novell 

AppArmor-Sicherheitsereignisse an. Bei jedem Auftreten eines Ereignisses wird 

eine neue Zeile in das umfassende Protokoll eingetragen und Sie werden über das 

Ereignis informiert. Diese Sicherheitsereignisse umfassen Datum und Uhrzeit des 

Ereignisses, wann das Anwendungsprofil den Zugriff erlaubt und abweist, sowie 

den Typ der Dateizugriffsberechtigung, die erlaubt oder abgewiesen wird. Die 

ausführliche Benachrichtigung teilt auch mehrere Meldungen mit, die das Werkzeug 

logprof (siehe „logprof“ (S. 67)) für die Interpretation von Profilen benutzt. Beispiel: 


Oct 9 15:40:31 AppArmor: PERMITTING r access to /etc/apache2/httpd.conf 

(httpd2-prefork(6068) profile /usr/sbin/httpd2-prefork active 

/usr/sbin/httpd2-prefork) 

ANMERKUNG 

Wie die Ereignisbenachrichtigung konfiguriert wird, erfahren Sie unter 

Abschnitt 4.2.2, „Konfigurieren der Sicherheitsereignisbenachrichtigung“ (S. 83). 

Lesen Sie nach dem Konfigurieren der Sicherheitsereignisbenachrichtigung die 

Berichte und bestimmen Sie, welche Ereignisse überprüft werden müssen. Eine 

Überprüfung kann die in Abschnitt 4.4.1, „Empfang einer Sicherheitsereignisablehnung“ 

(S. 109) beschriebenen Prozeduren beinhalten. 

4.2.1 Benachrichtigung über den 

Schweregrad 

Sie können Novell AppArmor so einrichten, dass Sie Ereignismeldungen für Vorfälle 

erhalten, die sich in der Severity-Datenbank und über der gewählten Ebene befinden. 

Diese werden von eins bis zehn nummeriert, wobei zehn den schwerwiegendsten 

Sicherheitsvorfall bezeichnet. Die Datei severity.db definiert den Schweregrad 

von potenziellen Sicherheitsereignissen. Die Schweregrade werden durch die Wichtigkeit 

von verschiedenen Sicherheitsereignissen bestimmt, z. B. bestimmte Ressourcen, auf 

die zugegriffen wird, oder abgelehnte Dienste. 

4.2.2 Konfigurieren der 

Sicherheitsereignisbenachrichtigung 

Die Sicherheitsereignisbenachrichtigung ist eine Novell AppArmor-Funktion, die Sie 

informiert, wenn eine systemabhängige Novell AppArmor-Aktivität auftritt. Indem Sie 

eine Benachrichtigungshäufigkeit wählen (z. B. den Empfang von täglichen Benachrichtigungen), 

aktivieren Sie die Benachrichtigung. Sie müssen eine E-Mail-Adresse 

eingeben, damit Sie bei Eintreten eines Novell AppArmor-Sicherheitsereignisses per 

E-Mail benachrichtigt werden können. 


ANMERKUNG 

Sie müssen in Ihrem SUSE Linux einen Mailserver einrichten, der ausgehende 

Mail mit dem SMTP-Protokoll senden kann (z. B. postfix oder exim), damit die 

Ereignisbenachrichtigung funktioniert. 

1 Klicken Sie im Bereich Sicherheitsereignisbenachrichtigung aktivieren des 

Fensters AppArmor-Konfiguration auf Konfigurieren. 

2 Im Fenster Sicherheitsereignisbenachrichtigung können Sie Terse (Knapp), 

Summary (Zusammenfassung) oder Verbose (Ausführlich) aktivieren. (Siehe 

dazu Abschnitt 4.2.1, „Benachrichtigung über den Schweregrad“ (S. 83).) Um 

eine Benachrichtigungs-E-Mail mit Angabe der letzten Novell AppArmor- 

Sicherheitsereignisse zu erhalten, müssen Sie Ihren bevorzugten Benachrichtigungstyp 

festlegen. 

3 Geben Sie in das vorgesehene Feld im Bereich für den gewünschten Benachrichtigungstyp 

die E-Mail-Adressen von den Personen ein, die eine Benachrichtigung 

erhalten sollen. Wenn Benachrichtigung aktiviert ist, müssen Sie eine E-Mail- 

Adresse eingeben. Andernfalls erhalten Sie eine Fehlermeldung. Trennen Sie 

mehrere E-Mail-Adressen durch Kommas. 


4 Wählen Sie die Häufigkeit für jeden Benachrichtigungstyp, den Sie aktivieren 

möchten. 

Wählen Sie eine Benachrichtigungshäufigkeit aus den folgenden Optionen: 

• Deaktiviert 

• 1 Minute 

• 5 Minuten 

• 10 Minuten 



• 1 Stunde 

• 1 Tag 

• 1 Woche 

5 Wählen Sie für jeden gewählten Benachrichtigungstyp den geringsten Schweregrad, 

für den eine Benachrichtigung gesendet werden soll. Sicherheitsereignisse 

werden protokolliert und die Benachrichtigungen werden im angegebenen Zeitintervall 

gesendet, wenn Ereignisse mit dem gewählten oder einem größeren 

Schweregrad eintreten. Wenn das Intervall 1 Tag ist, wird die Benachrichtigung 

täglich gesendet, falls Sicherheitsereignisse auftreten. Weitere Informationen 

über Schweregrade finden Sie unter Abschnitt 4.2.1, „Benachrichtigung über 

den Schweregrad“ (S. 83). 

6 Klicken Sie auf OK. 

7 Klicken Sie im Fenster Novell AppArmor-Konfiguration auf Fertig. 

8 Klicken Sie im YaST-Kontrollzentrum auf Datei → Beenden. 


4.3 Berichte 

Die Novell AppArmor-Berichtfunktion sorgt für Flexibilität, indem sie die Anzeigemöglichkeiten 

von Sicherheitsereignisdaten erweitert. Das Berichtwerkzeug führt folgende 

Aktionen durch: 

• Erstellt On-Demand-Berichte 

• Exportiert Berichte 

• Plant periodische Berichte für die Archivierung 

• Schickt periodische Berichte per E-Mail 

• Filtert Berichtdaten nach Datum 

• Filtert Berichtdaten nach anderen Optionen, z. B. nach Programmname 

Mithilfe von Berichten können Sie wichtige Novell AppArmor-Sicherheitsereignisse 

nachlesen, die in Protokolldateien aufgezeichnet wurden, ohne mühselig alle Meldungen 

durchsuchen zu müssen, die nur für das logprof-Werkzeug nützlich sind. Sie können 

die Größe des Berichts verringern, indem Sie nach Datumsbereich oder Programmname 

filtern. Sie können auch eine html- oder csv-Datei exportieren. 

Die folgenden drei Berichttypen stehen in Novell AppArmor zur Verfügung: 

Zusammenfassung der Ausführungssicherheit 

Ein aus einem oder mehreren Sicherheitsereignisberichten bestehender kombinierter 

Bericht für einen oder mehrere Computer. Dieser Bericht kann eine Einzelansicht 

der Sicherheitsereignisse auf mehreren Computern liefern. Weitere Einzelheiten 

finden Sie unter „Zusammenfassung der Ausführungssicherheit“ (S. 96). 

Anwendungsprüfbericht 

Ein Prüfwerkzeug für Berichte zu den laufenden Anwendungsservern und zu den 

von AppArmor beschränkten Anwendungen. Anwendungsserver sind Anwendungen, 

die eingehende Netzwerkverbindungen annehmen. Weitere Einzelheiten finden 

Sie unter „Anwendungsprüfbericht“ (S. 92). 


Sicherheitsereignisbericht 

Ein Bericht, in dem die Anwendungssicherheit für einen einzelnen Host angezeigt 

wird. Hier werden die Richtlinienverstöße für lokal eingeschränkte Anwendungen 

in einem bestimmten Zeitraum angegeben. Sie können den Bericht bearbeiten, 

anpassen oder ihm neue Versionen hinzufügen. Weitere Einzelheiten finden Sie 

unter „Sicherheitsereignisbericht“ (S. 94). 

Gehen Sie zur Nutzung der Novell AppArmor-Berichtfunktionen wie folgt vor: 

1 Um Berichte auszuführen, öffnen Sie YaST → Novell AppArmor. Die Novell 

AppArmor-Oberfläche wird geöffnet. 

2 Klicken Sie unter Novell AppArmor auf AppArmor-Berichte. Das Fenster 

AppArmor-Sicherheitsereignisberichte wird angezeigt. Wählen Sie im Fenster 

Berichte eine Option aus und folgen Sie den Anleitungen im entsprechenden 

Abschnitt: 


Archiv anzeigen 

Zeigt alle Berichte an, die ausgeführt und in /var/log/apparmor/ 

reports-archived/ gespeichert wurden. Wählen Sie den Bericht aus, 

dessen Einzelheiten Sie sehen möchten, und klicken Sie auf Anzeigen. 

Anleitungen zu Archiv anzeigen erhalten Sie unter Abschnitt 4.3.1, „Anzeigen 

von archivierten Berichten“ (S. 89). 

Jetzt ausführen 

Erzeugt eine sofortige Version des ausgewählten Berichttyps. Wenn Sie 

einen Sicherheitsereignisbericht wählen, kann er auf verschiedene Arten 

weiter gefiltert werden. Anleitungen zu Jetzt ausführen erhalten Sie unter 

Abschnitt 4.3.2, „Jetzt ausführen: Ausführen von On-Demand-Berichten“ 

(S. 98). 

Hinzufügen 

Erstellt einen geplanten Sicherheitsereignisbericht. Anleitungen zu Hinzufügen 

erhalten Sie unter Abschnitt 4.3.3, „Hinzufügen von neuen Berichten“ 

(S. 101). 

Bearbeiten 

Bearbeitet einen geplanten Sicherheitsereignisbericht. 


Löschen 

Löscht einen geplanten Sicherheitsereignisbericht. Alle Bestands- oder 

Archivberichte können nicht gelöscht werden. 

Zurück 

Wechselt wieder in das Novell AppArmor-Hauptfenster. 

Abbrechen 

Wechselt wieder in das Novell AppArmor-Hauptfenster. 

Weiter 

Führt dieselbe Funktion aus wie die Schaltfläche Jetzt ausführen. 

4.3.1 Anzeigen von archivierten Berichten 

Über Berichte anzeigen können Sie den Speicherort einer Berichtsammlung aus einem 

oder mehreren Systemen angeben sowie Berichte nach Datum oder Programmnamen 

filtern und alle zusammen in einem Bericht anzeigen. 

1 Wählen Sie im Fenster AppArmor-Sicherheitsereignisberichte die Option Archiv 

anzeigen. 


2 Wählen Sie den anzuzeigenden Berichttyp. Wechseln Sie zwischen verschiedenen 

Typen (SIR (Sicherheitsereignisbericht), App Aud (Anwendungsprüfbericht) und 

ESS (Zusammenfassung der Ausführungssicherheit). 

3 Sie können das Verzeichnis für die archivierten Berichte in Speicherort der 

archivierten Berichte ändern. Wählen Sie Übernehmen, um das aktuelle Verzeichnis 

zu verwenden, oder Durchsuchen, um einen neuen Berichtspeicherort zu 

finden. Das Standardverzeichnis ist /var/log/apparmor/ 

reports-archived/. 

4 Um alle Berichte im Archiv anzuzeigen, wählen Sie Alle anzeigen. Um einen 

bestimmten Bericht anzuzeigen, wählen Sie eine der Berichtdateien im Feld 

Bericht aus und klicken Sie auf Anzeigen. 

5 Fahren Sie für Anwendungsprüfbericht und Zusammenfassung der Ausführungssicherheit 

mit Schritt 9 (S. 92) fort. 

6 Das Dialogfeld Berichtkonfiguration wird für Sicherheitsereignisberichte 

geöffnet. 

7 Im Dialogfeld Berichtkonfiguration können Sie die im vorherigen Bildschirm 

ausgewählten Berichte filtern. Geben Sie die gewünschten Filterdetails ein. Folgende 

Felder stehen zur Verfügung: 


Zeitspanne 

Um Berichte für eine bestimmte Zeitspanne anzuzeigen, wählen Sie Nach 

Zeitspanne filtern. Geben Sie das Start- und das Enddatum ein, um den 

Berichtumfang zu definieren. 

Programmname 

Wenn Sie einen Programmnamen oder ein Muster eingeben, das mit dem 

Namen der ausführbaren Binärdatei des relevanten Programms übereinstimmt, 

werden im Bericht Sicherheitsereignisse angezeigt, die für ein spezielles 

Programm aufgetreten sind. 

Profilname 

Wenn Sie den Namen des Profils eingeben, werden im Bericht die für das 

angegebene Profil generierten Sicherheitsereignisse angezeigt. Hiermit 

können Sie die Einschränkungen eines speziellen Profils ermitteln. 

PID-Nummer 

Bei der PID-Nummer handelt es sich um eine Nummer, mit der ein spezieller 

Prozess oder ein laufendes Programm eindeutig identifiziert wird (diese 

Nummer ist nur während der Lebensdauer des Prozesses gültig). 

Schweregrad 

Wählen Sie den geringsten Schweregrad für Sicherheitsereignisse aus, die 

in den Bericht aufgenommen werden sollen. Der ausgewählte Schweregrad 

und alle darüber liegenden werden in die Berichte aufgenommen. 

Detail 

Eine Quelle, für die dem Profil der Zugriff verweigert wurde. Dies umfasst 

Funktionen und Dateien. Mit diesem Feld können Sie die Ressourcen im 

Bericht erfassen, auf die Profile den Zugriff verhindern. 

Zugriffstyp 

Der Zugriffstyp gibt an, wie tatsächlich mit dem Sicherheitsereignis verfahren 

wird. Wählen Sie eine der folgenden Optionen: ZULASSEN, ABLEHNEN 

oder PRÜFEN. 

Modus 

Der Modus ist die Berechtigung, die das Profil dem Programm oder dem 

Prozess erteilt, auf das bzw. den es angewendet wird. Wählen Sie eine der 

folgenden Optionen: r (lesen) w (schreiben) l (Link erstellen) x (ausführen). 


Exporttyp 

Hiermit können Sie eine CSV- oder eine HTML-Datei exportieren. In der 

CSV-Datei werden Datenabschnitte in den Protokolleinträgen durch Kommas 

getrennt, um sie in Tabellenkalkulationsprogramme importieren zu können. 

Sie können einen Pfadnamen für den exportierten Bericht angeben, indem 

Sie den vollständigen Pfadnamen in das dafür vorgesehene Feld eingeben. 

Speicherort für das Protokoll 

Hiermit können Sie den Speicherort ändern, an dem der exportierte Bericht 

abgelegt wird. Der Standardspeicherort ist /var/log/apparmor/ 

reports-exported. Wenn Sie diesen Speicherort ändern, wählen Sie 

Übernehmen. Wählen Sie Durchsuchen, um das Dateisystem zu durchsuchen. 

8 Zur Anzeige des Berichts in der gewünschten Filterung wählen Sie Weiter. Einer 

der drei Berichte wird angezeigt. 

9 In den folgenden Abschnitten finden Sie ausführliche Informationen zu jedem 

Berichttyp. 

• Informationen über den Anwendungsprüfbericht finden Sie unter „Anwendungsprüfbericht“ 

(S. 92). 

• Informationen über den Sicherheitsereignisbericht finden Sie unter „Sicherheitsereignisbericht“ 

(S. 94). 

• Informationen über den Zusammenfassungsbericht der Ausführungssicherheit 


Anwendungsprüfbericht 

Ein Prüfwerkzeug für Berichte zu den laufenden Anwendungsservern und zu den durch 

AppArmor beschränkten Anwendungen. Anwendungsserver sind Anwendungen, die 

eingehende Netzwerkverbindungen annehmen. In diesem Bericht werden die IP- 

Adresse des Hostcomputers, das Datum, an dem der Anwendungsprüfbericht ausgeführt 

wurde, der Name und der Pfad des uneingeschränkten Programms oder Anwendungsservers, 

das vorgeschlagene Profil oder ein Platzhalter für ein Profil eines uneingeschränkten 

Programms, die Prozess-ID-Nummer, der Status des Programms (eingeschränkt 

oder uneingeschränkt) und der Typ der Beschränkung angegeben, die das 

Profil ausführt (erzwingen oder melden). 


Das folgende Fenster stellt einen Anwendungsprüfbericht dar: 

Im Folgenden handelt es sich um Definitionen für die Felder im Anwendungsprüfbericht: 

Host 

Der durch AppArmor geschützte Rechner, über den die Sicherheitsereignisse berichtet 

werden. 

Datum 

Das Datum, an dem Sicherheitsereignisse aufgetreten sind. 

Programm 

Der Name des laufenden Prozesses. 


Der absolute Name des Sicherheitsprofils, das auf den Prozess angewendet wird. 

PID 

Bei der Prozess-ID-Nummer handelt es sich um eine Nummer, mit der ein spezieller 

Prozess oder ein laufendes Programm eindeutig identifiziert wird (diese Nummer 

ist nur während der Lebensdauer des Prozesses gültig). 


Status 

Dieses Feld gibt an, ob das im Programmfeld aufgeführte Programm eingeschränkt 

ist. Wenn es nicht eingeschränkt ist, sollten Sie erwägen, ein Profil dafür zu 

erstellen. 

Typ 

Dieses Feld zeigt den Einschränkungstyp an, den das Sicherheitsereignis repräsentiert. 

Dieser lautet entweder "melden" oder "erzwingen". Wenn die Anwendung 

nicht eingeschränkt ist (Status), wird kein Einschränkungstyp mitgeteilt. 

Sicherheitsereignisbericht 

Ein Bericht, in dem die relevanten Sicherheitsereignisse für einen Administrator angezeigt 

werden. Im SIR werden die Richtlinienverstöße für lokal beschränkte Anwendungen 

in einem bestimmten Zeitraum angegeben. Im SIR werden Richtlinienausnahmen 

und Statusänderungen der Richtlinien-Engine angegeben. Diese beiden Arten von 

Sicherheitsereignissen werden wie folgt definiert: 

Richtlinienausnahmen 

Wenn eine Anwendung eine Ressource anfordert, die in ihrem Profil nicht definiert 

ist, wird ein Sicherheitsereignis ausgelöst. Ein Bericht wird generiert, in dem die 

relevanten Sicherheitsereignisse für einen Administrator angezeigt werden. Im SIR 

werden die Richtlinienverstöße für lokal beschränkte Anwendungen in einem 

bestimmten Zeitraum angegeben. Im SIR werden Richtlinienausnahmen und Statusänderungen 

der Richtlinien-Engine angegeben. 

Statusänderungen der Richtlinien-Engine 

Erzwingt die Richtlinie für Anwendungen und zeichnet den Zustand auf, beispielsweise 

das Starten oder Anhalten von Engines, das Neuladen einer Richtlinie oder 

das Aktivieren oder Deaktivieren einer globalen Sicherheitsfunktion. 


Das folgende Fenster stellt einen SIR-Bericht dar: 

Im Folgenden handelt es sich um Definitionen für die Felder im SIR-Bericht: 

Host 

Der durch AppArmor geschützte Rechner, über den die Sicherheitsereignisse berichtet 

werden. 

Datum 

Das Datum, an dem Sicherheitsereignisse aufgetreten sind. 

Programm 

Der Name des laufenden Prozesses. 


Der absolute Name des Sicherheitsprofils, das auf den Prozess angewendet wird. 

PID 

Bei der Prozess-ID-Nummer handelt es sich um eine Nummer, mit der ein spezieller 

Prozess oder ein laufendes Programm eindeutig identifiziert wird (diese Nummer 

ist nur während der Lebensdauer des Prozesses gültig). 


Schweregrad 

Schweregrade von Ereignissen werden aus der severity-Datenbank mitgeteilt. Die 

severity-Datenbank definiert die Wichtigkeit von potenziellen Sicherheitsereignissen 

und nummeriert diese von eins bis zehn, wobei zehn das Sicherheitsereignis mit 

dem größten Schweregrad angibt. Die Schweregrade werden durch die Bedrohung 

oder Wichtigkeit von verschiedenen Sicherheitsereignissen bestimmt, z. B. 

bestimmte Ressourcen, auf die zugegriffen wird, oder abgelehnte Dienste. 

Modus 

Der Modus ist die Berechtigung, die das Profil dem Programm oder dem Prozess 

erteilt, auf das bzw. den es angewendet wird. Die Optionen sind r (lesen), w 

(schreiben), l (Link erstellen) und x (ausführen). 

Detail 

Eine Quelle, auf die das Profil den Zugriff verweigert hat. Dies umfasst Funktionen 

und Dateien. Mit diesem Feld können Sie die Ressourcen im Bericht erfassen, auf 

die das Profil den Zugriff verhindert. 

Zugriffstyp 

Der Zugriffstyp gibt an, wie tatsächlich mit dem Sicherheitsereignis verfahren wird. 

Die Optionen sind ZULASSEN, ABLEHNEN oder PRÜFEN. 

Zusammenfassung der Ausführungssicherheit 

Ein aus einem oder mehreren Sicherheitsereignisberichten hoher Stufe bestehender 

kombinierter Bericht für einen oder mehrere Computer. Dieser Bericht bietet eine Einzelansicht 

der Sicherheitsereignisse auf mehreren Computern, sofern die Daten aller 

Computer in das Archivverzeichnis für Berichte, /var/ log/apparmor/ 

reports-archived, kopiert werden. In diesem Bericht werden die IP-Adresse des 

Hostcomputers, Start- und Enddatum der abgefragten Ereignisse, die Gesamtanzahl 

der Ablehnungen, die Gesamtanzahl der Ereignisse, der durchschnittliche Schweregrad 

der Meldungen und der höchste Schweregrad angegeben. Eine Zeile des ESS-Berichts 

stellt einen Bereich von SIR-Berichten dar. 


Das folgende Fenster stellt einen Zusammenfassungsbericht der Ausführungssicherheit 

dar: 

Im Folgenden handelt es sich um Definitionen für die Felder im Zusammenfassungsbericht 

der Ausführungssicherheit: 

Host 

Der durch AppArmor geschützte Rechner, über den die Sicherheitsereignisse 

berichtet werden. 

Startdatum 

Das erste Datum in einem Datumsbereich, für den Sicherheitsereignisse berichtet 

werden. 

Enddatum 

Das letzte Datum in einem Datumsbereich, für den Sicherheitsereignisse berichtet 

werden. 

Anzahl der Ablehnungen 

Im angegebenen Datumsbereich die Gesamtanzahl an Sicherheitsereignissen, die 

abgelehnte Zugriffsversuche darstellen. 


Anzahl der Ereignisse 

Im angegebenen Datumsbereich die Gesamtanzahl an Sicherheitsereignissen. 

Avg Severity (Durchschnittlicher Schweregrad) 

Dies ist der Durchschnitt der Schweregrade, die im angegebenen Datumsbereich 

gemeldet wurden. Unbekannte Schweregrade werden in dieser Zahl nicht berücksichtigt. 

High Severity (Hoher Schweregrad) 

Dies ist der höchste Schweregrad, der im angegebenen Datumsbereich gemeldet 

wurde. 

4.3.2 Jetzt ausführen: Ausführen von 

On-Demand-Berichten 

Die Berichtfunktion Jetzt ausführen ermöglicht Ihnen, sofort Berichtinformationen aus 

den Novell AppArmor-Ereignisprotokollen zu extrahieren, ohne geplante Ereignisse 

abzuwarten. Kehren Sie an den Beginn dieses Abschnitts zurück, wenn Sie Hilfe zur 

Navigation im Bericht-Hauptfenster benötigen (siehe Abschnitt 4.3, „Berichte“ (S. 86)). 

Führen Sie die folgenden Schritte aus, um einen Bericht aus der Berichtliste auszuführen: 

1 Wählen Sie den Bericht, den Sie sofort ausführen möchten, aus der Berichtliste 

im Fenster Berichte planen. 

2 Wählen Sie Jetzt ausführen oder Weiter. Das nächste Fenster hängt davon ab, 

welchen Bericht Sie im vorherigen Schritt gewählt haben. Fahren Sie für 

Anwendungsprüfbericht und Zusammenfassung der Ausführungssicherheit mit 

Schritt 6 (S. 100) fort. 

3 Das Dialogfeld Berichtkonfiguration wird für Sicherheitsereignisberichte angezeigt. 


4 Im Dialogfeld Berichtkonfiguration können Sie die im vorherigen Fenster ausgewählten 

Berichte filtern. Geben Sie die gewünschten Filterdetails ein. Die folgenden 

Filteroptionen stehen zur Verfügung: 

Zeitspanne 

Um Berichte auf eine bestimmte Zeitspanne zu begrenzen, wählen Sie Nach 

Zeitspanne filtern. Geben Sie das Start- und das Enddatum ein, um den 

Berichtumfang zu bestimmen. 

Programmname 

Wenn Sie einen Programmnamen oder ein Muster eingeben, das mit dem 

Namen der ausführbaren Binärdatei des relevanten Programms übereinstimmt, 

werden im Bericht nur Sicherheitsereignisse angezeigt, die für das angegebene 

Programm aufgetreten sind. 


Wenn Sie den Namen des Profils eingeben, werden im Bericht die für das 

angegebene Profil generierten Sicherheitsereignisse angezeigt. Hiermit 

können Sie die Einschränkungen eines speziellen Profils ermitteln. 

PID-Nummer 

Bei der Prozess-ID-Nummer handelt es sich um eine Nummer, mit der ein 

spezieller Prozess oder ein laufendes Programm eindeutig identifiziert wird 

(diese Nummer ist nur während der Lebensdauer des Prozesses gültig). 


Schweregrad 




Detail 


Funktionen und Dateien. Mit diesem Feld können Sie die Ressourcen im 

Bericht erfassen, auf die Profile den Zugriff verhindern. 

Zugriffstyp 


wird. Die Optionen sind ZULASSEN, ABLEHNEN oder PRÜFEN. 

Modus 


Prozess erteilt, auf das bzw. den es angewendet wird. Die Optionen sind r 

(lesen), w (schreiben), l (Link erstellen) und x (ausführen). 

Exporttyp 

Hiermit können Sie eine CSV- oder eine HTML-Datei exportieren. In der 

CSV-Datei werden Datenabschnitte in den Protokolleinträgen durch Kommas 

getrennt, um sie in Tabellenkalkulationsprogramme importieren zu können. 

Sie können einen Pfadnamen für den exportierten Bericht angeben, indem 

Sie den vollständigen Pfadnamen in das dafür vorgesehene Feld eingeben. 






5 Zur Anzeige des Berichts in der gewünschten Filterung wählen Sie Weiter. Einer 

der drei Berichte wird angezeigt. 

6 In den folgenden Abschnitten finden Sie ausführliche Informationen zu jedem 

Berichttyp. 

• Informationen über den Anwendungsprüfbericht finden Sie unter „Anwendungsprüfbericht“ 

(S. 92). 


• Informationen über den Sicherheitsereignisbericht finden Sie unter „Sicherheitsereignisbericht“ 

(S. 94). 

• Informationen über den Zusammenfassungsbericht der Ausführungssicherheit 


4.3.3 Hinzufügen von neuen Berichten 

Durch das Hinzufügen neuer Berichte können Sie einen geplanten Sicherheitsereignisbericht 

erstellen, der Novell AppArmor-Sicherheitsereignisse gemäß Ihren voreingestellten 

Filtern anzeigt. Wenn ein Bericht in Berichte planen eingerichtet wird, wird 

regelmäßig ein Bericht von Novell AppArmor-Sicherheitsereignissen gestartet, die im 

System aufgetreten sind. 

Sie können einen täglichen, wöchentlichen, monatlichen oder stündlichen Bericht 

konfigurieren, der in einer angegebenen Zeitspanne ausgeführt wird. Sie können den 

Bericht so einstellen, dass er Ablehnungen für bestimmte Sicherheitsstufen zeigt oder 

nach Programmname, Profilname, Schweregrad oder verweigerten Ressourcen filtert. 

Dieser Bericht kann in ein HTML (Hypertext Markup Language)- oder CSV (Comma 

Separated Values)- Dateiformat exportiert werden. 

ANMERKUNG 

Kehren Sie an den Beginn dieses Abschnitts zurück, wenn Sie Hilfe zur Navigation 

im Bericht-Hauptfenster benötigen (siehe Abschnitt 4.3, „Berichte“ (S. 86)). 

Zum Hinzufügen eines neuen geplanten Sicherheitsereignisberichts gehen Sie wie folgt 

vor: 

1 Klicken Sie auf Add (Hinzufügen), um einen neuen Sicherheitsereignisbericht 

zu erstellen. Die erste Seite von Add Scheduled SIR (Geplanten SIR hinzufügen) 



2 Füllen Sie die Felder wie erforderlich mit den folgenden Filterinformationen aus: 

Berichtname 

Geben Sie den Namen des Berichts an. Verwenden Sie Namen, die einen 

Bericht deutlich vom nächsten unterscheiden. 

Tag des Monats 

Wählen Sie einen beliebigen Tag des Monats, um monatliche Filterung in 

Berichten zu aktivieren. Wenn Sie Alle wählen, wird keine monatliche 

Filterung ausgeführt. 

Wochentag 

Wählen Sie nach Wunsch den Wochentag, an dem wöchentliche Berichte 

geplant sind. Wenn Sie ALLE wählen, wird keine wöchentliche Filterung 

ausgeführt. Falls monatliche Filterung ausgewählt ist, übernimmt dieses Feld 

standardmäßig den Eintrag ALLE. 

Stunde und Minute 

Wählen Sie die Zeit aus. Dies gibt die Stunde und Minute an, zu denen die 

Berichte ausgeführt werden sollen. Wenn Sie die Uhrzeit nicht ändern, 

werden ausgewählte Berichte um Mitternacht ausgeführt. Wenn weder Monat 

noch Wochentag gewählt sind, wird der Bericht täglich zum angegebenen 

Zeitpunkt ausgeführt. 


E-Mail Target (E-Mail-Empfänger) 

Sie haben die Möglichkeit, den geplanten Sicherheitsereignisbericht per E- 

Mail an bis zu drei Empfänger zu senden. Geben Sie einfach die E-Mail- 

Adressen der Personen ein, die die Sicherheitsereignisinformationen benötigen. 

Exporttyp 

Mithilfe dieser Option können Sie eine CSV- oder eine HTML-Datei 

exportieren. In der CSV-Datei werden Datenabschnitte in den Protokolleinträgen 

durch Kommas getrennt, um sie in Tabellenkalkulationsprogramme 

importieren zu können. Sie können einen Pfadnamen für den exportierten 

Bericht angeben, indem Sie den vollständigen Pfadnamen in das dafür vorgesehene 

Feld eingeben. 






3 Mit Weiter wechseln Sie zur zweiten Seite von Add Scheduled SIR (Geplanten 

SIR hinzufügen). 



Programmname 

Sie können einen Programmnamen oder ein Muster angeben, das mit dem 

Namen der ausführbaren Binärdatei des relevanten Programms übereinstimmt. 

Der Bericht zeigt nur Sicherheitsereignisse an, die für das angegebene Programm 

aufgetreten sind. 


Sie können den Namen des Profils eingeben, für das der Bericht Sicherheitsereignisse 

anzeigen soll. Hiermit können Sie die Einschränkungen eines 

speziellen Profils ermitteln. 

PID-Nummer 




Detail 


Funktionen und Dateien. Mit diesem Feld können Sie einen Bericht mit 

Ressourcen erstellen, auf die Profile den Zugriff verhindern. 

Schweregrad 




Zugriffstyp 



Modus 




5 Klicken Sie auf Speichern, um diesen Bericht zu speichern. Novell AppArmor 

kehrt in das Hauptfenster Scheduled Reports (Geplante Berichte) zurück. Dort 

wird der neu geplante Bericht in der Liste der Berichte angezeigt. 


4.3.4 Bearbeiten von Berichten 

Im Fenster Berichte von AppArmor können Sie einen Bericht auswählen und bearbeiten. 

Die Bestandsberichte können nicht bearbeitet oder gelöscht werden. 

ANMERKUNG 

Kehren Sie an den Beginn dieses Abschnitts zurück, wenn Sie Hilfe zur Navigation 

im Bericht-Hauptfenster benötigen (siehe Abschnitt 4.3, „Berichte“ (S. 86)). 

Führen Sie die folgenden Schritte aus, um einen Bericht aus der Berichtliste auszuführen: 

1 Wählen Sie den Bericht, den Sie bearbeiten möchten, aus der Berichtliste im 

Fenster Berichte planen. 

2 Klicken Sie auf Bearbeiten, um den Sicherheitsereignisbericht zu bearbeiten. 

Die erste Seite von Edit Scheduled SIR (Geplanten SIR bearbeiten) wird geöffnet. 

3 Geben Sie wie erforderlich die folgenden Filterinformationen ein: 

Tag des Monats 

Wählen Sie einen beliebigen Tag des Monats, um monatliche Filterung in 

Berichten zu aktivieren. Wenn Sie Alle wählen, wird keine monatliche 

Filterung ausgeführt. 

Wochentag 

Wählen Sie den Wochentag, an dem wöchentliche Berichte geplant sind. 

Wenn Sie Alle wählen, wird keine wöchentliche Filterung ausgeführt. Falls 


ein monatlicher Bericht ausgewählt ist, zeigt dieses Feld standardmäßig den 

Eintrag Alle. 

Stunde und Minute 

Wählen Sie die Zeit aus. Dies gibt die Stunde und Minute an, zu denen die 

Berichte ausgeführt werden sollen. Wenn Sie die Uhrzeit nicht ändern, 

werden ausgewählte Berichte um Mitternacht ausgeführt. Wenn weder der 

Tag des Monats noch ein Wochentag ausgewählt ist, wird der Bericht täglich 

zum angegebenen Zeitpunkt ausgeführt. 

E-Mail Target (E-Mail-Empfänger) 

Sie haben die Möglichkeit, den geplanten Sicherheitsereignisbericht per E- 

Mail an bis zu drei Empfänger zu senden. Geben Sie einfach die E-Mail- 

Adressen der Personen ein, die die Sicherheitsereignisinformationen benötigen. 

Exporttyp 

Mithilfe dieser Option können Sie eine CSV- oder eine HTML-Datei 

exportieren. In der CSV-Datei werden Datenabschnitte in den Protokolleinträgen 

durch Kommas getrennt, um sie in Tabellenkalkulationsprogramme 

importieren zu können. Sie können einen Pfadnamen für den exportierten 

Bericht angeben, indem Sie den vollständigen Pfadnamen in das dafür vorgesehene 

Feld eingeben. 






4 Mit Weiter wechseln Sie zur nächsten Seite von Edit Scheduled SIR (Geplanten 

SIR bearbeiten). Die zweite Seite von Edit Scheduled Reports (Geplanten SIR 

bearbeiten) wird geöffnet. 



Programmname 

Sie können einen Programmnamen oder ein Muster angeben, das mit dem 

Namen der ausführbaren Binärdatei des relevanten Programms übereinstimmt. 

Der Bericht zeigt nur Sicherheitsereignisse an, die für das angegebene Programm 

aufgetreten sind. 


Sie können den Namen des Profils eingeben, für das Sicherheitsereignisse 

angezeigt werden sollen. Hiermit können Sie die Einschränkungen eines 

speziellen Profils ermitteln. 

PID-Nummer 




Detail 


Funktionen und Dateien. Mit diesem Feld können Sie einen Bericht mit 

Ressourcen erstellen, auf die Profile den Zugriff verhindern. 


Schweregrad 




Zugriffstyp 



Modus 




6 Wählen Sie Speichern, um die Änderungen an diesem Bericht zu speichern. 

Novell AppArmor kehrt in das Hauptfenster Scheduled Reports (Geplante Berichte) 

zurück. Dort wird der geplante Bericht in der Liste der Berichte angezeigt. 

4.3.5 Löschen von Berichten 

Über Delete a Report (Bericht löschen) können Sie einen Bericht permanent aus der 

Liste der geplanten Novell AppArmor-Berichte entfernen. Folgen Sie zum Löschen 

eines Berichts diesen Anleitungen: 

1 Um einen Bericht aus der Berichtliste zu entfernen, markieren Sie den Bericht 

und klicken Sie auf Löschen. 

2 Wählen Sie im Bestätigungsfenster Abbrechen, falls Sie den ausgewählten Bericht 

nicht löschen möchten. Wenn Sie sicher sind, dass Sie den Bericht permanent 

aus der Berichtliste entfernen möchten, wählen Sie Löschen. 

4.4 Reaktion auf Sicherheitsereignisse 

Es gibt ein paar übliche Wartungsvorfälle, die Sie regelmäßig prüfen und gemäß den 

Regeln, die Sie aufgestellt haben, bereinigen sollten. Einige übliche Wartungsvorfälle, 

die auftreten können: 


• Abschnitt 4.4.1, „Empfang einer Sicherheitsereignisablehnung“ (S. 109). 

• Abschnitt 4.5.2, „Ändern Ihrer Sicherheitsprofile“ (S. 110). 

4.4.1 Empfang einer 

Sicherheitsereignisablehnung 

Wenn Sie eine Ablehnung empfangen, prüfen Sie die Zugriffsverletzung und bestimmen 

Sie, ob das angegebene Ereignis eine Bedrohung darstellt oder Teil des normalen 

Anwendungsverhaltens war. Anwendungsspezifische Kenntnisse sind erforderlich, um 

diese Entscheidung zu treffen. Wenn die Ablehnung normales Anwendungsverhalten 

darstellt, können Sie logprof in der Befehlszeile oder den Assistenten zum Aktualisieren 

von Profilen in Novell AppArmor ausführen, um durch alle Ablehnungsmeldungen zu 

blättern. Indem Sie die Meldung für die entsprechende Ablehnung auswählen, können 

Sie Ihr Profil automatisch aktualisieren. 

Wenn die Ablehnung nicht Teil des normalen Anwendungsverhaltens ist, sollte dieser 

Zugriff als möglicher Angriffsversuch (der verhindert wurde) betrachtet werden und 

diese Benachrichtigung sollte an die verantwortliche Person für Sicherheit in Ihrer 

Organisation gesendet werden. 

4.4.2 Ändern der Anwendungssicherheit 

Benutzer können das Profil immer manuell bearbeiten, indem Sie vim in der Befehlszeile 

oder Profil bearbeiten in YaST verwenden. 

4.5 Pflegen Ihrer Sicherheitsprofile 

In einer Produktionsumgebung sollten Sie die Pflege von Profilen für alle eingesetzten 

Anwendungen einplanen. Die Sicherheitsrichtlinien sind ein integraler Teil Ihrer Ausstattung. 

Sie sollten Maßnahmen für Sicherung und Wiederherstellung von Sicherheitsrichtliniendateien, 

Software-Änderungen und erforderliche Modifizierung von Sicherheitsrichtlinien 

planen, die Ihre Umgebung fordert. Diese Punkte werden in den folgenden 

Abschnitten behandelt: 


• Abschnitt 4.5.1, „Sichern Ihrer Sicherheitsprofile“ (S. 110). 

• Abschnitt 4.5.2, „Ändern Ihrer Sicherheitsprofile“ (S. 110). 

• Abschnitt 4.5.3, „Einführung neuer Software in Ihrer Umgebung“ (S. 111). 

4.5.1 Sichern Ihrer Sicherheitsprofile 

Da Sie sich die Zeit nehmen, Profile zu definieren, sollten Sie von diesen auch eine 

Sicherungskopie anlegen. Das Sichern von Profilen kann Ihnen die Neuerstellung von 

Profilen für alle Ihre Programme nach einem Plattenausfall ersparen. Außerdem können 

Sie nach Profiländerungen die vorherige Einstellungen aus den gesicherten Daten 

bequem wiederherstellen. 

Sichern Sie Profile, indem Sie die Profildateien in ein angegebenes Verzeichnis kopieren. 

1 Zunächst sollten Sie die Dateien in einer einzigen Datei archivieren. Öffnen Sie 

hierfür ein Terminalfenster und geben Sie als root Folgendes ein: 

tar zclpf profiles.tgz /etc/apparmor.d 

Am einfachsten sorgen Sie dafür, dass Ihre Sicherheitsrichtliniendateien regelmäßig 

gesichert werden, indem Sie das Verzeichnis/etc/apparmor.d in Ihre 

Liste von Verzeichnissen aufnehmen, die Ihr Sicherungssystem archiviert. 

2 Sie können auch scp oder einen Datei-Manager wie Konqueror oder Nautilus 

verwenden, um die Dateien auf einer Art von Speichermedium, im Netzwerk 

oder auf einem anderen Computer zu speichern. 

4.5.2 Ändern Ihrer Sicherheitsprofile 

Die Wartung von Sicherheitsprofilen umfasst das Ändern der Profile, falls Sie entscheiden, 

dass Ihr System mehr oder weniger Sicherheit für seine Anwendungen benötigt. 

Wie Sie Profile in Novell AppArmor ändern, erfahren Sie in Abschnitt 3.3.3, „Bearbeiten 

eines Profils“ (S. 38). 


4.5.3 Einführung neuer Software in Ihrer 

Umgebung 

Wenn Sie Ihrem System eine neue Anwendungsversion oder einen Patch hinzufügen, 

sollten Sie stets das Profil Ihren Anforderungen entsprechend aktualisieren. Sie haben 

mehrere Optionen, die von der Software-Entwicklungsstrategie Ihres Unternehmens 

abhängen. Sie können Ihre Patches und Upgrades in einer Test- oder Produktionsumgebung 

einsetzen. Im Folgenden wird dies für jede Methode beschrieben. 

Wenn Sie einen Patch oder ein Upgrade in einer Testumgebung installieren möchten, 

aktualisieren Sie Ihre Profile am besten auf eine der folgenden Arten: 

• Führen Sie den Assistenten zum Hinzufügen von Profilen in YaST aus. Dadurch 

werden Ihre Anwendungsprofile mit minimalem Aufwand mit den aktuellen Produktionen 

aktualisiert. Schrittweise Anleitungen finden Sie unter Abschnitt 3.3.1, 

„Hinzufügen eines Profils mit dem Assistenten“ (S. 26). 

• Führen Sie genprof aus, indem Sie genprof in ein Terminalfenster eingeben, 

während Sie als root angemeldet sind. Detaillierte Anleitungen finden Sie unter 

„genprof“ (S. 61). 

Wenn Sie einen Patch oder ein Upgrade direkt in einer Produktionsumgebung einsetzen 

möchten, aktualisieren Sie Ihre Profile am besten auf eine der folgenden Arten: 

• Überwachen Sie das System häufig, um zu ermitteln, ob dem Profil neue Ablehnungen 

hinzugefügt werden sollten, und aktualisieren Sie es bei Bedarf mithilfe von 

logprof. Detaillierte Anleitungen finden Sie unter „logprof“ (S. 67). 

• Führen Sie die Profilerstellungswerkzeuge aus, um das neue Verhalten zu lernen 

(hohes Sicherheitsrisiko, da alle Zugriffe erlaubt und protokolliert werden und kein 

Zugriff abgelehnt wird). Schrittweise Anleitungen finden Sie unter Abschnitt 3.3.5, 

„Aktualisieren von Profilen aus den Syslog-Einträgen“ (S. 41). 


Erstellen von Profilen für Ihre 

Webanwendungen mit ChangeHat 

Apache 

Ein Novell® AppArmor-Profil repräsentiert Sicherheitsrichtlinien für eine einzelne 

Programminstanz oder einen Prozess. Es gilt für ein ausführbares Programm. Wenn 

aber ein Teil des Programms abweichende Zugriffsberechtigungen benötigt, kann das 

Programm den „Hat wechseln“, um einen anderen Sicherheitskontext zu verwenden, 

der sich vom Zugriff auf das Hauptprogramm unterscheidet. Dies wird als Hat oder 

Unterprofil bezeichnet. 

ChangeHat ermöglicht Programmen, innerhalb eines Novell AppArmor-Profils von 

oder zu einem Hat zu wechseln. Es gibt Ihnen die Möglichkeit, Sicherheit in feineren 

Abstufungen als dem Prozess zu definieren. 

Diese Funktion setzt voraus, dass „Changehat“ jeder Anwendung "bekannt" ist, d. h., 

die Anwendung wird so geändert, dass sie eine Anforderung an das Novell AppArmor- 

Modul sendet, zu beliebigen Zeitpunkten während der Anwendungsausführung die 

Sicherheitsdomäne zu wechseln. 

Ein Profil kann eine beliebige Anzahl an Unterprofilen enthalten, aber es gibt nur zwei 

Ebenen: Ein Unterprofil kann keine weiteren Unterprofile besitzen. Ein Unterprofil 

wird als separates Profil geschrieben und erhält denselben Namen wie das übergeordnete 

Profil, gefolgt von einem ^ und dann dem Unterprofilnamen. Unterprofile müssen 

in derselben Datei gespeichert werden wie ihr übergeordnetes Profil. 

ANMERKUNG 

Weitere Informationen finden Sie auf der Manualpage change_hat. 

5 

Erstellen von Profilen für Ihre Webanwendungen mit ChangeHat Apache 113

5.1 Apache ChangeHat 

Novell AppArmor stellt ein mod-apparmor-Modul für das Apache-Programm bereit. 

Das mod-apparmor-Modul sorgt auf Ihrem SUSE Linux dafür, dass der Apache- 

Webserver „ChangeHat-fähig“ wird. Es wird installiert, wenn sich Apache auf Ihrem 

System befindet. 

Wenn Apache ChangeHat-fähig ist, prüft es in der angegebenen Reihenfolge für jede 

empfangene URI-Anforderung, ob die folgenden benutzerdefinierten Novell AppArmor- 

Sicherheitsprofile vorhanden sind. 

• URI-spezifischer Hat (z. B. ^phpsysinfo-dev/templates/classic/ 

images/bar_left.gif) 

• DEFAULT_URI 

• HANDLING_UNTRUSTED_INPUT 

Wenn auf Ihrem System das erforderliche Apache 2 vorhanden ist, wird das 

mod-apparmor-Modul automatisch mit Novell AppArmor installiert und der Apache- 

Konfiguration hinzugefügt. Apache 1.3 wird nicht unterstützt. 

ANMERKUNG 

Wenn Sie mod-apparmor ohne Novell AppArmor installieren, müssen Sie 

sicherstellen, dass die Konfigurationsdatei des Apache-Lademoduls einen Befehl 

enthält, der das mod-apparmor-Modul lädt, indem Sie Ihrer Apache-Konfigurationsdatei 

die folgende Zeile hinzufügen: 

LoadModule change_hat_module modules/mod_change_hat.so 

5.1.1 Werkzeuge zur Verwaltung von 

ChangeHat-fähigen Anwendungen 

Wie bei den meisten Novell AppArmor-Werkzeugen stehen Ihnen zwei Methoden zur 

Verwaltung von ChangeHat zur Verfügung: YaST oder die Befehlszeilenschnittstelle. 

ChangeHat-fähige Anwendungen lassen sich an der Befehlszeile viel flexibler verwalten, 


aber der Prozess ist auch komplizierter. Beide Methoden gestatten Ihnen, die Hats für 

Ihre Anwendung zu verwalten und sie mit Profileinträgen zu füllen. 

Die folgenden Schritte zeigen Ihnen, wie einem Apache-Profil mithilfe von YaST Hats 

hinzugefügt werden. Im Assistenten zum Hinzufügen von Profilen werden Sie durch 

die Novell AppArmor-Profil-Dienstprogramme aufgefordert, neue Hats für einzelne 

URI-Anforderungen zu erstellen. Wenn Sie sich für die Erstellung eines neuen Hats 

entscheiden, können Sie individuelle Profile für jeden URI erstellen. Damit lassen sich 

sehr strenge Regeln für jede Anforderung festlegen. 

Wenn der verarbeitete URI keine wichtige Verarbeitung bzw. kein wesentliches 

Sicherheitsrisiko bedeutet, können Sie einfach Use Default Hat (Standard-Hat verwenden) 

wählen, um diesen URI im Standard-Hat zu verwenden, der das Standard-Sicherheitsprofil 

darstellt. 

In der Demo erstellen wir einen neuen Hat für den URI phpsysinfo-dev und seine 

darauf folgenden Zugriffe. Mithilfe der Dienstprogramme zur Profilerstellung legen 

wir fest, was diesem neuen Hat hinzugefügt wird. Der resultierende Hat wird zu einem 

Hochsicherheits-Container, der sämtliche Verarbeitung auf dem Server beinhaltet, die 

bei der Übergabe des phpsysinfo-dev-URI an den Apache-Webserver stattfindet. 

In dieser Demo erzeugen wir ein Profil für die Anwendung phpsysinfo (siehe http:// 

phpsysinfo.sourceforge.net für weitere Informationen). Es wird angenommen, 

dass das phpsysinfo-dev-Paket unter /srv/www/htdocs/phpsysinfo-dev/ in 

einer sauberen (neuen) Installation von Novell AppArmor installiert wird. 

1 Sobald phpsysinfo-dev installiert ist, können Sie dem Apache-Profil Hats hinzufügen. 

Starten Sie den Assistenten zum Aktualisieren von Profilen in der Novell 

AppArmor-Benutzeroberfläche. 


2 Geben Sie in Profile to Add (Neues Profil) den Text httpd2-prefork ein. 

3 Klicken Sie auf Profil erstellen. Das Fenster des AppArmor-Profilassistenten 



4 Starten Sie Apache neu, indem Sie rcapache2 restart in ein Terminalfenster 

eingeben. 

ANMERKUNG 

Starten Sie jetzt jedes Programm neu, für das Sie gerade Profile erstellen. 

5 Öffnen Sie http://localhost/phpsysinfo-dev/ in einem Webbrowserfenster. 

Das Browserfenster sollte Netzwerkauslastung und Systeminformationen 

anzeigen. 

ANMERKUNG 

Damit sichergestellt ist, dass der Server diese Anforderung verarbeitet 

und Sie keine Cache-Daten in Ihrem Browser sehen, sollten Sie die Seite 

aktualisieren. Klicken Sie dazu im Browser auf die Schaltfläche Aktualisieren, 

um sicherzustellen, dass Apache die Anforderung für den 

phpsysinfo-dev-URI verarbeitet. 

6 Klicken Sie auf Scan System Log for Entries to Add to Profiles (Systemlog auf 

Einträge für Profile prüfen). Novell AppArmor startet das logprof-Werkzeug, 

das alle Informationen scannt, die im vorherigen Schritt erfasst wurden. Es 

beginnt, Ihnen Profilfragen zu stellen. 

7 In unserer Demo bittet uns logprof um die Entscheidung zwischen Add Requested 

Hat (Angeforderten Hat hinzufügen) und Use Default Hat (Standard-Hat verwenden), 

da es bemerkt hat, dass phpsysinfo-dev auf einen URI zugegriffen 

hat. Wählen Sie Add Requested Hat (Angeforderten Hat hinzufügen). 


8 Klicken Sie auf Allow (Erlauben). 

Durch die Wahl von Add Requested Hat (Angeforderten Hat hinzufügen) im 

vorherigen Schritt wird ein neuer Hat im Profil erstellt und festgelegt, dass folgende 

Fragen über die Aktionen des Skripts im neu erstellten Hat und nicht im 

Standard-Hat für diese Anwendung hinzugefügt werden. 

Im nächsten Fenster zeigt Novell AppArmor ein externes Programm an, das vom 

Skript ausgeführt wurde. Sie können festlegen, dass die Ausführung des Programms 

durch den phpsysinfo-dev-Hat (Inherit (Erben) wählen) oder durch ein 

separates Profil (Profil wählen) eingeschränkt werden oder uneingeschränkt bzw. 

ohne Sicherheitsprofil (Unconfined (Uneingeschränkt) erfolgen soll. Nach Wahl 

der Option Profil wird für das Programm ein neues Profil erstellt, sofern noch 

keines existiert. 

ANMERKUNG 

Die Option Unconfined (Uneingeschränkt) kann eine erhebliche Sicherheitslücke 

verursachen und sollte mit Umsicht verwendet werden. 


a Wählen Sie Inherit (Erben) für den Pfad /bin/bash. Dadurch wird /bin/ 

bash/ (auf das Apache zugreift) dem phpsysinfo-dev-Hat-Profil mit den 

erforderlichen Berechtigungen hinzugefügt. 

b Klicken Sie auf Allow (Erlauben). 

9 Die weiteren Fragen fordern Sie zur Erstellung neuer Hats und zum Hinzufügen 

von Einträgen zu Ihrem Profil und dessen Hats auf. Das Hinzufügen von Einträgen 

zu Profilen wird detailliert im Abschnitt Abschnitt 3.3.1, „Hinzufügen eines 

Profils mit dem Assistenten“ (S. 26) beschrieben. 

Klicken Sie nach der Beantwortung aller Profilfragen auf Finish (Beenden), um 

Ihre Änderungen zu speichern und den Assistenten zu beenden. 

Dies ist ein Beispiel für einen phpsyinfo-dev-Hat: 


Beispiel 5.1 Beispiel für phpsysinfo-dev-Hat 

^phpsysinfo { 

#include 

/bin/df ix, 

/bin/bash ix, 

/dev/tty rw, 

/etc/SuSE-release r, 

/etc/fstab r, 

/etc/hosts r, 

/etc/mtab r, 

/proc/** r, 

/sbin/lspci ix, 

/srv/www/htdocs/sysinfo/** r, 

/sys/bus/pci/devices r, 

/sys/devices/** r, 

/usr/bin/who ix, 

/usr/share/pci.ids r, 

/var/log/apache2/{access,error}_log w, 

/var/run/utmp r, 

} 

ANMERKUNG 

Das Profil ^phpsysinfo-dev ist nur im Kontext eines Prozesses gültig, der 

unter dem übergeordneten Profil httpd2-prefork abläuft. 

5.1.2 Hinzufügen von Hats und Einträgen in 

Hats 

Wenn Sie das Dialogfeld Profil bearbeiten verwenden (Anleitungen siehe unter 

Abschnitt 3.3.3, „Bearbeiten eines Profils“ (S. 38)) oder über Novell AppArmor-Profil 

manuell hinzufügen (Anleitungen siehe unter Abschnitt 3.3.2, „Manuelles Hinzufügen 

eines Profils“ (S. 33)) ein neues Profil hinzufügen, erhalten Sie die Option, Ihren Novell 

AppArmor-Profilen Hats (Unterprofile) hinzuzufügen. 

Sie können ein ChangeHat-Unterprofil über das Fenster AppArmor-Profildialog hinzufügen. 


1 Klicken Sie im Fenster AppArmor-Profile Dialog auf Add Entry (Eintrag hinzufügen) 

und wählen Sie dann Hat. Das Dialogfeld Enter Hat Name (Hat-Namen 

eingeben) wird geöffnet: 

2 Geben Sie den Namen des Hats ein, der dem Novell AppArmor-Profil hinzugefügt 

werden soll. Der Name ist der URI, der beim Zugriff die im Hat festgelegten 

Berechtigungen erhält. 

3 Klicken Sie auf Create Hat (Hat erstellen). Sie kehren in das Fenster AppArmor- 

Profildialog zurück. 

4 Nachdem Sie den neuen Hat hinzugefügt haben, klicken Sie auf Fertig. 


ANMERKUNG 

Ein Beispiel für ein Novell AppArmor-Profil finden Sie unter Beispiel 5.1, „Beispiel 

für phpsysinfo-dev-Hat“ (S. 120). 

5.2 Apache-Konfiguration für 

mod-apparmor 

Apache wird durch die Angabe von Direktiven in Klartext-Konfigurationsdateien 

konfiguriert. Die Hauptkonfigurationsdatei ist gewöhnlich httpd.conf. Wenn Sie 

Apache kompilieren, können Sie den Speicherort dieser Datei angeben. Direktiven 

können in beliebige dieser Konfigurationsdateien gesetzt werden, um das Verhalten 

von Apache zu ändern. Wenn Sie die Hauptkonfigurationsdateien ändern, müssen Sie 

Apache starten bzw. neu starten, damit die Änderungen in Kraft treten. 

5.2.1 Direktiven für den virtuellen Host 

Direktiven für den virtuellen Host steuern, ob Anforderungen mit Pfadnameninformationen, 

die einem tatsächlichen Dateinamen (oder einer nicht existenten Datei in einem 

bestehenden Verzeichnis) nachgestellt sind, akzeptiert oder abgelehnt werden. Informationen 

über Apache-Dokumentation zu Direktiven für virtuelle Hosts finden Sie unter 

http://httpd.apache.org/docs-2.0/mod/core.html#virtualhost 

Das für change_hat spezifische Konfigurationsschlüsselwort lautet 

ImmDefaultHatName und wird ähnlich zu ImmHatName verwendet, z. B. 

ImmDefaultHatName My_Funky_Default_Hat. 

Die Konfigurationsoption basiert im Prinzip auf einer Server-Direktive, mit deren Hilfe 

Sie das Schlüsselwort außerhalb anderer Optionen nutzen und damit für den Standardserver 

festlegen können. Virtuelle Hosts werden Apache-intern als separate „Server“ 

betrachtet, Sie können also einen Standard-Hat-Namen für den Standardserver festlegen 

sowie bei Bedarf einen für jeden virtuellen Host. 

Die folgenden Schritte zeigen die Reihenfolge, in der mod-apparmor beim Eingang 

einer Anforderung versucht, Hats anzuwenden. 


1. Ein Speicherort- oder Verzeichnis-Hat, wie im Schlüsselwort ImmHatName 

angegeben. 

2. Ein Hat, der durch den vollständigen URI-Pfad angegeben wird. 

3. Ein Standardserver-Hat, wie im Schlüsselwort ImmDefaultHatName angegeben. 

4. DEFAULT_URI (und falls keiner von diesen existiert, erfolgt die Rückkehr zum 

„übergeordneten“ Apache-Hat). 

5.2.2 Speicherort- und 

Verzeichnis-Direktiven 

Speicherort- und Verzeichnis-Direktiven geben Hat-Namen in der Programmkonfigurationsdatei 

an, damit das Programm den Hat für seine Sicherheit aufruft. Für Apache 

finden Sie Dokumentation über Speicherort- und Verzeichnis-Direktiven unter http:// 

httpd.apache.org/docs-2.0/sections.html. 

Das nachstehende Beispiel einer location-Direktive legt fest, dass mod-apparmor 

für einen bestimmten Speicherort einen bestimmten Hat verwenden soll: 

 

ImmHatName MY_HAT_NAME 

 

Hier wird versucht, MY_HAT_NAME für jeden URI anzuwenden, der mit /foo/ (/foo/ 

, /foo/bar, /foo/cgi/path/beliebig/beliebig usw.) beginnt. 

Die directory-Direktive gleicht der location-Direktive mit der Ausnahme, dass sie sich 

auf einen Pfadnamen im Dateisystem bezieht, wie in folgendem Beispiel: 

# Fehlenden nachgestellten 

Schrägstrich beachten 

ImmHatName immunix.com 

 

Beispiel: Das Programm phpsysinfo wird verwendet, um eine location-Direktive in 

folgendem Beispiel zu illustrieren. Der Tarball kann von http://phpsysinfo 

.sourceforge.com heruntergeladen werden. 


1 Installieren Sie den Tarball nach dem Herunterladen in /srv/www/htdocs/ 

sysinfo/. 

2 Erstellen Sie /etc/apache2/conf.d/sysinfo.conf und fügen Sie den 

folgenden Text hinzu: 

 

ImmHatName sysinfo 

 

Der folgende Hat sollte dann für phpsyinfo funktionieren: 

^sysinfo { 

#include 

/bin/df ix, 

/bin/bash ix, 

/dev/tty rw, 

/etc/SuSE-release r, 

/etc/fstab r, 

/etc/hosts r, 

/etc/mtab r, 

/proc/** r, 

/sbin/lspci ix, 

/srv/www/htdocs/sysinfo/** r, 

/sys/bus/pci/devices r, 

/sys/devices/** r, 

/usr/bin/who ix, 

/usr/share/pci.ids r, 

/var/log/apache2/{access,error}_log w, 

/var/run/utmp r, 

} 

3 Laden Sie Novell AppArmor-Profile neu, indem Sie rcapparmor restart 

als root an einem Terminalfenster eingeben. 

4 Starten Sie Apache neu, indem Sie rcapache2 restart in ein Terminalfenster 

eingeben, während Sie als root angemeldet sind. 

5 Geben Sie http://hostname/sysinfo/ in einen Browser ein, um die 

Systeminformationen zu empfangen, die phpsysinfo liefert. 

6 Ermitteln Sie Konfigurationsfehler, indem Sie zu /var/log/syslog wechseln 

oder dmesg ausführen und etwaige Ablehnungen in der Ausgabe suchen. 


Unterstützung 

Dieses Kapitel umreißt Aufgaben bei der Wartung. Sie erfahren, wie Sie Novell® 

AppArmor aktualisieren können und eine Liste verfügbarer Manualpages erhalten, die 

grundlegende Hilfe zu den Novell AppArmor-Befehlszeilenwerkzeugen bieten. Im 

Abschnitt über die Fehlersuche lernen Sie einige mögliche Probleme in Novell 

AppArmor und deren Lösung kennen. Verschaffen Sie sich zum Abschluss einen 

Überblick über die Unterstützungsoptionen, die mit Ihrer Kopie von SUSE Linux verfügbar 

sind. 

6.1 Online-Aktualisierung von Novell 

AppArmor 

Aktualisierungen für Novell AppArmor-Pakete werden auf dieselbe Weise bereitgestellt 

wie alle anderen Aktualisierungen für SUSE Linux-basierte Produkte. Rufen Sie die 

Updates ab und wenden Sie sie an wie jedes andere Paket, das als Teil eines SUSE 

Linux-Produkts geliefert wird. 

6.2 Verwenden der Manualpages 

Ihnen werden Manualpages zur Unterstützung angeboten. Geben Sie an einem Terminal 

man apparmo ein, um die Manualpage für AppArmor zu öffnen. Manualpages werden 

in Abschnitten von 1 bis 8 verteilt. Jeder Abschnitt ist spezifisch für eine Kategorie der 

Dokumentation: 

6 

Unterstützung 125

Tabelle 6.1 Manualpages: Abschnitte und Kategorien 

Abschnitt 

1 

2 

3 

4 

5 

6 

7 

8 

Kategorie 

Benutzerbefehle 

Systemaufrufe 

Bibliotheksfunktionen 

Gerätetreiberinformation 

Konfigurationsdateiformate 

Spiele 

Übergeordnete Konzepte 

Administratorbefehle 

Die Abschnittnummern dienen der Unterscheidung zwischen den Manualpages. Beispiel: 

exit(2) beschreibt den Systemaufruf "exit", während exit(3) die C-Bibliotheksfunktion 

"exit" beschreibt. 

Die Novell AppArmor-Manualpages: 

• unconfined(8) 

• autodep(1) 

• complain(1) 

• enforce(1) 

• genprof(1) 

• logprof(1) 

• change_hat(2) 

• logprof.conf(5) 


• apparmor.conf(5) 

• apparmor.d(5) 

• apparmor.vim(5) 

• apparmor(7) 

• apparmor_parser(8) 

6.3 Weitere Informationen 

Weitere Informationen zu dem AppArmor-Produkt finden Sie auf der Novell AppArmor- 

Produktseite bei Novell: http://www.novell.com/products/apparmor/. 

Die Dokumentation für Novell AppArmor einschließlich dieses Dokuments finden Sie 

unter http://www.novell.com/documentation/apparmor/ oder im 

installierten System unter /usr/share/doc/packages/apparmor-docs/. 

Es gibt spezielle Mailinglisten für AppArmor, in denen die Benutzer Beiträge schreiben 

und sich mit Entwicklern austauschen können. 

apparmor-general@forge.novell.com 

Dies ist eine Mailingliste für die Endbenutzer von AppArmor. Hier können Sie 

Fragen dazu stellen, wie Sie AppArmor zum Schutz Ihrer Anwendungen einsetzen 

können. 

apparmor-dev@forge.novell.com 

Dies ist eine Entwickler-Mailingliste für die AppArmor-Entwickler und Community-Mitglieder. 

Diese Liste ist für Fragen zur Entwicklung der Kernfunktionen 

von AppArmor gedacht: Kernel-Modul und Profilwerkzeuge. Wenn Sie daran 

interessiert sind, den Code für AppArmor zu überprüfen und Überprüfungen oder 

Patches beizusteuern, ist dies die richtige Liste für Sie. 

apparmor-announce@forge.novell.com 

Dies ist eine Liste mit geringem Nachrichtenaufkommen, in der die Verfügbarkeit 

neuer Versionen oder Funktionen gemeldet wird. 

Unterstützung 127

6.4 Fehlerbehebung 

Der folgende Abschnitt behandelt die gängigsten Probleme und Fehlermeldungen, die 

beim Einsatz von Novell AppArmor auftreten können. 

SUSE Linux ist installiert, aber AppArmor wird nicht im YaST-Menü angezeigt 

AppArmor wird standardmäßig installiert, wenn der GNOME- oder KDE-Desktop 

zum Zeitpunkt der Installation ausgewählt wird. Wenn Sie Minimales grafisches 

System oder Expertenmodus wählen, ist AppArmor nicht standardmäßig inbegriffen. 

Verwenden Sie in diesen Fällen YaST, um die fehlenden Pakete zu installieren. 

Weitere Informationen hierzu finden Sie im Novell AppArmor 2.0-Installations 

und Einführungshandbuch. 

Merkwürdiges Anwendungsverhalten 

Wenn Sie ein merkwürdiges Verhalten oder ein anderes Anwendungsproblem 

bemerken, sollten Sie zunächst anhand der Ablehnungsmeldungen in den Protokolldateien 

prüfen, ob AppArmor Ihre Anwendung zu stark einschränkt. 

Starten Sie zur Prüfung der Ablehnungsmeldungen YaST → Novell AppArmor und 

rufen Sie AppArmor-Berichte auf. Wählen Sie Archiv anzeigen und App Aud für 

den Anwendungsprüfbericht. Sie können Datum und Uhrzeit filtern, um die Zeitspanne 

einzugrenzen, in der das seltsame Anwendungsverhalten begann. 

Probleme mit Apache 

Apache startet nicht ordnungsgemäß oder stellt keine Webseiten bereit und Sie 

haben gerade ein neues Modul installiert oder eine Konfigurationsänderung vorgenommen. 

Wenn Sie zusätzliche Apache-Module installieren (wie mod-apparmor) oder 

Konfigurationsänderungen in Apache durchführen, sollten Sie erneut die Apache- 

Profilerstellung ausführen, um etwaige zusätzliche Regeln zu ermitteln, die dem 

Profil hinzugefügt werden müssen. 

Berichte werden nicht per E-Mail gesendet 

Wenn die Berichtfunktion eine HTML- oder CSV-Datei generiert, die die Standardgröße 

überschreitet, wird die Datei nicht gesendet. Mailserver haben eine standardmäßige, 

feste Größenbeschränkung für E-Mails. Diese Beschränkung kann die 

Fähigkeit von AppArmor zum Senden von E-Mails behindern, die zu Berichtzwecken 

generiert wurden. Wenn Ihre Mail nicht ankommt, könnte dies der Grund 

sein. 


Benutzer müssen über die Begrenzung der Mailgröße Bescheid wissen und sollten 

in ihren Archiven prüfen, ob E-Mails nicht empfangen wurden. 

Ausschließen von bestimmten Profilen aus der Liste der verwendeten Profile 

AppArmor lädt stets alle Profile und wendet sie an, die sich in seinem Profilverzeichnis 

(/etc/apparmor.d/) befinden. Wenn Sie entscheiden, ein Profil nicht 

für eine bestimmte Anwendung zu nutzen, löschen Sie das betreffende Profil oder 

verschieben Sie es an einen anderen Speicherort, an dem AppArmor nicht danach 

sucht. 

Der Betrieb von AppArmor kann verschiedene Fehler generieren. Im Folgenden 

erhalten Sie eine Liste der möglichen Fehler und deren Beseitigung. 

Can’t find apparmor_parser (apparmor_parser nicht gefunden) 

Wenn Sie logprof als Nicht-root-Benutzer, z. B. als tux, ausführen, sehen Sie 

wahrscheinlich diesen Fehler: 

tux@localhost:~> /usr/sbin/logprof 

Can’t find apparmor_parser. 

ANMERKUNG 

Sie sollten logprof nur als root ausführen. 

/usr/sbin/genprof must be run as root (/usr/sbin/genprof muss als root ausgeführt werden) 

Das Ausführen von genprof als Nicht-root-Benutzer führt zu einem ähnlichen 

Ergebnis: 

tux@localhost:~> /usr/sbin/genprof 

/usr/sbin/genprof must be run as root. 

Unloading AppArmorprofiles..failed (Entladen von Unterdomänen-Profilen fehlgeschlagen) 

Sie müssen die Skripts "apparmor start" und "apparmor stop" als root ausführen. 

Die Ausführung als Nicht-root-Benutzer führt zu diesem Ergebnis: 

tux@localhost:~> /etc/init.d/apparmor stop 

/sbin/apparmor_parser: Sorry. You need root priveleges to run this program. 

Unloading AppArmor profiles..failed 

AppArmor parser error (AppArmor-Analysefehler) 

Das folgende Beispiel zeigt die Syntax des vollständigen Analysefehlers. 

Unterstützung 129

Bei der manuellen Bearbeitung von Novell AppArmor-Profilen können sich Syntaxfehler 

einschleichen. Wenn Sie versuchen, AppArmor mit Syntaxfehlern in den 

Profilen zu starten oder neu zu starten, erhalten Sie Fehler wie den folgenden: 

localhost:~ # /etc/init.d/apparmor start 

Loading AppArmor profiles 

AppArmor parser error, line 2: Found unexpected character: ’h’ 

Profile /etc/apparmor.d/usr.sbin.squid failed to load 

failed 

6.5 Melden von Programmfehlern für 

AppArmor 

Die Entwickler von AppArmor und SUSE Linux sind bestrebt, Produkte in höchster 

Qualität zu liefern. Ihr Feedback und Ihre Fehlerberichte helfen uns dabei, unsere gute 

Arbeit fortzusetzen. Reichen Sie also bei jedem Auftreten eines Fehlers in AppArmor 

einen Fehlerbericht für dieses Produkt ein: 

1 Wechseln Sie in Ihrem Webbrowser zu https://bugzilla.novell.com/ 

index.cgi. 

2 Geben Sie die Kontodaten Ihres Novell-Kontos ein und klicken Sie auf Login 

(Anmeldung). 

Oder: 

Erstellen Sie wie folgt ein Novell-Konto: 

a Klicken Sie auf Create New Account (Neues Konto erstellen) auf der Seite 

Login to Continue (Anmelden, um fortzufahren). 

b Geben Sie einen Benutzernamen und ein Passwort sowie zusätzliche 

Adressdaten ein und klicken Sie auf Create Login (Anmeldung erstellen), 

um sofort mit der Anmeldungserstellung fortzufahren. 

Oder: 

Geben Sie Daten über andere Novell-Konten ein, die Sie führen, um all 

diese auf ein Konto zu synchronisieren. 


3 Prüfen Sie, ob ein ähnliches Problem wie das Ihre bereits gemeldet wurde, indem 

Sie auf Search Reports (Berichte durchsuchen) klicken. 

Führen Sie entweder eine Schnellsuche mit einem angegebenen Produkt und 

Stichwort aus oder verwenden Sie die Advanced Search (Erweiterte Suche). 

4 Wenn Ihr Problem bereits gemeldet wurde, prüfen Sie diesen Fehlerbericht und 

fügen Sie ggf. zusätzliche Informationen hinzu. 

5 Wenn Ihr Problem noch nicht gemeldet wurde, wählen Sie New (Neu) in der 

oberen Navigationsleiste und wechseln Sie zur Seite Enter Bug (Programmfehler 

eingeben). 

6 Wählen Sie das Produkt aus, für das Sie einen Programmfehler melden möchten. 

In Ihrem Fall ist das Ihre SUSE Linux-Version. Klicken Sie auf Submit (Senden). 

7 Wählen Sie Produktversion, Komponente (AppArmor in diesem Fall), Hardwareplattform 

und Schweregrad. 

8 Geben Sie eine kurze Überschrift ein, die Ihr Problem beschreibt, und fügen Sie 

eine ausführlichere Beschreibung mit Protokolldateien darunter ein. 

Sie können Ihrem Fehlerbericht Anlagen mit Screenshots, Protokolldateien oder 

Testfällen hinzufügen. 

9 Klicken Sie auf Submit (Senden), nachdem Sie alle Einzelheiten eingegeben 

haben, um Ihren Bericht an die Entwickler zu senden. 

Unterstützung 131

Glossar 

Apache 

Apache ist ein kostenlos verfügbarer Webserver auf UNIX-Basis. Es ist derzeit der 

am häufigsten verwendete Webserver im Internet. Weitere Informationen zu Apache 

finden Sie auf der Apache-Website unter http://www.apache.org: 

Anwendungs-Firewall 

Novell AppArmor enthält Anwendungen und beschränkt die Aktionen, die diese 

ausführen dürfen. Es verhindert mithilfe von Berechtigungseinschränkungen, dass 

Angreifer auf dem geschützten Server bösartige Programme ausführen oder sogar 

vertrauenswürdige Programme zweckentfremden. 

Angriffssignatur 

Muster in System- oder Netzwerkaktivität, das einen möglichen Viren- oder einen 

Hackerangriff signalisiert. Intrusion Detection-Systeme können anhand von 

Angriffssignaturen zwischen legitimen und potenziell bösartigen Aktivitäten 

unterscheiden. 

Indem es sich nicht auf Angriffssignaturen verlässt, bietet Novell AppArmor 

"proaktive" anstelle von "reaktiver" Verteidigung gegen Angriffe. Der Ansatz ist 

besser, da es keine Sicherheitslücke gibt, für die eigens eine Angriffssignatur für 

Novell AppArmor definiert werden muss, wie das bei Produkten erforderlich ist, 

die ihre Netzwerke mithilfe von Angriffssignaturen schützen. 

GUI 

Grafische Benutzeroberfläche (Graphical User Interface). Bezeichnet ein Software- 

Frontend, das eine ansprechende und bequeme Schnittstelle zwischen einem 

Computerbenutzer und einer Anwendung bieten soll. Die Elemente einer grafischen 

Benutzeroberfläche umfassen z. B. Fenster, Symbole, Schaltflächen, Zeiger und 

Bildlaufleisten. 

HIP 

Verhinderung von unbefugtem Zugriff auf den Host (Host Intrusion Prevention). 

Blockiert gemeinsam mit dem Betriebssystemkern abnormales Anwendungsverhalten 

in der Annahme, dass das abnormale Verhalten einen unbekannten Angriff 

darstellt. Am Host werden bösartige Pakete auf Netzwerkebene blockiert, bevor 

sie der Zielanwendung „schaden“ können.

Obligatorische Zugriffskontrolle 

Diese Methode zur Beschränkung des Objektzugriffs beruht auf festen Sicherheitsattributen, 

die Benutzern, Dateien und anderen Objekten zugewiesen wurden. Die 

Kontrollen sind obligatorisch in dem Sinne, dass sie sich nicht durch Benutzer oder 

deren Programme ändern lassen. 

Profil Foundation Classes 

Profilbausteine, die für gängige Anwendungsaktivitäten wie DNS-Lookup und 

Benutzerauthentifizierung erforderlich sind. 

RPM 

Der RPM-Paket-Manager. Ein offenes Paketsystem, das jeder verwenden kann. Es 

funktioniert unter Red Hat Linux, SUSE Linux und anderen Linux- und UNIX- 

Systemen. Es kann Computer-Softwarepakete installieren, deinstallieren, verifizieren, 

abfragen und aktualisieren. Weitere Informationen hierzu finden Sie unter 

http://www.rpm.org/. 

SSH 

Secure Shell. Ein Dienst, mit dessen Hilfe Sie von einem entfernten Computer über 

eine sichere Verbindung auf Ihren Server zugreifen und Textbefehle erteilen können. 

Optimierte Zugriffskontrolle 

Novell AppArmor bietet eine optimierte Zugriffskontrolle für Netzwerkdienste 

durch die Angabe der Dateien, die jedes Programm lesen, schreiben und ausführen 

darf. Damit wird sichergestellt, dass jedes Programm ausschließlich die beabsichtigten 

Aktionen ausführt. 

URI (URI) 

Universal Resource Identifiers. Der generische Begriff für alle Typen von Namen 

und Adressen, die sich auf Objekte im World Wide Web beziehen. Eine URL ist 

eine Art von URI. 

URL 

Uniform Resource Locator. Die globale Adresse von Dokumenten und anderen 

Ressourcen im World Wide Web. 

Der erste Teil der Adresse gibt das zu verwendende Protokoll an, der zweite Teil 

gibt die IP-Adresse oder den Namen der Domäne an, in der sich die Ressource 

befindet. 


Beispiel: In http://www.immuix.com/index.html ist http das zu verwendende 

Protokoll. 

Schwachstellen 

Ein Aspekt eines Systems oder Netzwerks, der eine Angriffsfläche bietet. Merkmale 

von Computersystemen, die einem Individuum ermöglichen, den einwandfreien 

Betrieb zu verhindern oder die nicht autorisierten Benutzern erlauben, die Kontrolle 

des Systems zu übernehmen. Schwächen in Design, Administration oder Implementierung 

oder Fehler in Hardware, Firmware oder Software. Bei entsprechender 

Ausnutzung kann ein Risiko zu einem inakzeptablen Einfluss in Form von unberechtigtem 

Zugriff auf Informationen oder einer Störung wichtiger Verarbeitungsvorgänge 

führen. 

Glossar 135

3.4 Erstellen von Novell AppArmor-Profilen mit der - Index of

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?