LXF83:AppArmor - История изменений

Lockal: восстановление кавычек в коде AWB

2008-04-27T13:48:30Z

восстановление кавычек в коде AWB

Heeppy: /* ПК на замке */

2008-04-26T08:11:33Z

‎ПК на замке

Heeppy: /* Общие правила */

2008-04-17T10:18:09Z

‎Общие правила

Heeppy: /* Фабричные профили */

2008-04-17T10:17:02Z

‎Фабричные профили

Heeppy: /* ПК на замке */

2008-04-17T10:11:53Z

‎ПК на замке

Heeppy: /* ПК на замке */

2008-04-17T10:09:27Z

‎ПК на замке

Heeppy в 10:07, 17 апреля 2008

2008-04-17T10:07:45Z

Heeppy в 16:13, 9 апреля 2008

2008-04-09T16:13:29Z

Heeppy в 16:11, 9 апреля 2008

2008-04-09T16:11:42Z

Внесённые изменения

Bellycat77: /* ДВИГАЕМСЯ ДАЛЬШЕ */

2008-03-10T05:23:18Z

‎ДВИГАЕМСЯ ДАЛЬШЕ

@@ Строка 54: / Строка 54: @@
 |Заголовок=Как устроен AppArmor
 |Содержание=
-[[Изображение:Img_83_45_1.png|center]]
+[[Изображение:Img 83 45 1.png|center]]
 *'''Ядро Linux 2.6''' Имеет новый интерфейс модулей безопасности Linux (Linux Security Modules), допускающий подключаемые модули безопасности. Процессы пользователя обращаются к ядру, которое при помощи всех загруженных LSM-модулей прове ряет корректность доступа.
@@ Строка 74: / Строка 74: @@
 Профили AppArmor достаточно просты: нетрудно сообразить, как создать их вручную. Фактически, когда в 1998 г. появился AppArmor, именно так и делалось. Сейчас AppArmor поставляется с обучающейся системой: вы запускаете ваши приложения как обычно, а AppArmor следит и запоминает, что требуется разрешать приложению.
-Выбрав приложение, для которого нужно разработать профиль, вы отсылаете модулю ядра исходный вариант профиля, функционирующий в режиме ‘complain’ («жалоба»): нарушения политик не блокируются, а записываются в log-файл (журнал). Затем вы запускаете приложение обычным способом, и оно какое-то время работает, заодно заполняя журнал событий, характеризующих его поведение. После этого вы применяете к созданному журналу анализатор AppArmor, который задаст вам интерактивные вопросы о добавлении событий в окончательный профиль.
+Выбрав приложение, для которого нужно разработать профиль, вы отсылаете модулю ядра исходный вариант профиля, функционирующий в режиме 'complain' («жалоба»): нарушения политик не блокируются, а записываются в log-файл (журнал). Затем вы запускаете приложение обычным способом, и оно какое-то время работает, заодно заполняя журнал событий, характеризующих его поведение. После этого вы применяете к созданному журналу анализатор AppArmor, который задаст вам интерактивные вопросы о добавлении событий в окончательный профиль.
 === Фабричные профили ===
@@ Строка 108: / Строка 108: @@
 |Заголовок=Советы по профилям AppArmor
 |Содержание=* При обучении AppArmor, всегда оставляйте окно терминала открытым, выполнив команду '''tail -f /var/log/audit/audit.log''', чтобы видеть в реальном времени, чем занимается AppArmor.
-* Если вам показалось, что AppArmor где-то навредил, grep’ните файл '''APPARMOR /var/log/audit/audit.log'''. Если в нём ничего нет, то причина проблемы – не AppArmor. Если есть, то AppArmor объяснит, почему он что-то заблокировал. Еще лучше запустить '''logprof''', чтобы AppArmor нашел блокирующее событие и спросил, хотите ли вы добавить его в список разрешенных для данного профиля.
+* Если вам показалось, что AppArmor где-то навредил, grep'ните файл '''APPARMOR /var/log/audit/audit.log'''. Если в нём ничего нет, то причина проблемы – не AppArmor. Если есть, то AppArmor объяснит, почему он что-то заблокировал. Еще лучше запустить '''logprof''', чтобы AppArmor нашел блокирующее событие и спросил, хотите ли вы добавить его в список разрешенных для данного профиля.
 * Команда '''complain /etc/apparmor.d/*''' быстро переведет всё в complain-режим, разрешающий все действия, так что AppArmor вообще ничего не будет блокировать. И обратно – '''enforce /etc/apparmor.d/*''' блокирует всё.
 * Прежде чем создавать новый профиль, загляните в /etc/apparmor/profiles/extras/ – нет ли готового профиля, чтобы взять его в качестве исходного: это значительно сократит работу. AppArmor прекрасно улучшает существующие профили.
@@ Строка 125: / Строка 125: @@
 Запустите ваше приложение на сколь угодно долгое время, позаботившись, чтобы все журналы сохранялись и не удалялись при ротации. Когда вы посчитаете, что набрали достаточное количество событий, используйте программу logprof для обработки журнала так же, как делает genprof – только logprof прочитает весь файл журнала. logprof имеет ключи командной строки, указывающие, где искать журналы, с какого места журнала начинать анализ и где находится профиль, подлежащий обновлению.
-Чтобы полностью разделить процессы обучения и создания профиля, отработайте все обучающие режимы для генерации журнала событий на большой тестовой машине в QA-подразделении, а затем просто отправьте набор профилей и log-файлов по электронной почте эксперту по безопасности, который при помощи logprof преобразует события в профили. По завершении выполните команду enforce, которая работает точно так же, как команда complain, но переводит все профили в режим ‘enforce’ («подавление»).
+Чтобы полностью разделить процессы обучения и создания профиля, отработайте все обучающие режимы для генерации журнала событий на большой тестовой машине в QA-подразделении, а затем просто отправьте набор профилей и log-файлов по электронной почте эксперту по безопасности, который при помощи logprof преобразует события в профили. По завершении выполните команду enforce, которая работает точно так же, как команда complain, но переводит все профили в режим 'enforce' («подавление»).
 Эти команды AppArmor могут быть выполнены только из командной оболочки root, причём оболочка должна быть свободна от ограничений AppArmor. Все команды также имеют псевдонимы, начинающиеся с '''aa-''', таким образом вы сможете обнаружить все команды AppArmor в вашей системе, просто набрав '''aa-<TAB>''' в root-строке.
@@ Строка 144: / Строка 144: @@
 Вот листинг результата команды unconfined в защищенной системе (web- и mail-сервер в берлоге автора):
-/sbin/dhcpcd confined by ‘/sbin/dhcpcd (enforce)’
+/sbin/dhcpcd confined by '/sbin/dhcpcd (enforce)'
-/sbin/portmap confined by ‘/sbin/portmap (enforce)’
+/sbin/portmap confined by '/sbin/portmap (enforce)'
-/sbin/portmap confined by ‘/sbin/portmap (enforce)’
+/sbin/portmap confined by '/sbin/portmap (enforce)'
-/usr/sbin/sshd confined by ‘/usr/sbin/sshd (enforce)’
+/usr/sbin/sshd confined by '/usr/sbin/sshd (enforce)'
-/usr/sbin/httpd2-prefork confined by ‘/usr/sbin/httpd2-prefork (enforce)’
+/usr/sbin/httpd2-prefork confined by '/usr/sbin/httpd2-prefork (enforce)'
-/usr/sbin/dhcpd confined by ‘/usr/sbin/dhcpd (enforce)’
+/usr/sbin/dhcpd confined by '/usr/sbin/dhcpd (enforce)'
-/usr/sbin/dhcpd confined by ‘/usr/sbin/dhcpd (enforce)’
+/usr/sbin/dhcpd confined by '/usr/sbin/dhcpd (enforce)'
-/usr/lib/postfix/master confined by ‘/usr/lib/postfix/master (enforce)’
+/usr/lib/postfix/master confined by '/usr/lib/postfix/master (enforce)'
-/usr/lib/postfix/master confined by ‘/usr/lib/postfix/master (enforce)’
+/usr/lib/postfix/master confined by '/usr/lib/postfix/master (enforce)'
-/usr/sbin/xinetd confined by ‘/usr/sbin/xinetd (enforce)’
+/usr/sbin/xinetd confined by '/usr/sbin/xinetd (enforce)'
-/usr/sbin/xinetd confined by ‘/usr/sbin/xinetd (enforce)’
+/usr/sbin/xinetd confined by '/usr/sbin/xinetd (enforce)'
-/usr/sbin/cupsd confined by ‘/usr/sbin/cupsd (enforce)’
+/usr/sbin/cupsd confined by '/usr/sbin/cupsd (enforce)'
-/usr/sbin/cupsd confined by ‘/usr/sbin/cupsd (enforce)’
+/usr/sbin/cupsd confined by '/usr/sbin/cupsd (enforce)'
 === ПК на замке ===

@@ Строка 170: / Строка 170: @@
 #Создайте пакет для вашего дистрибутива аналогично RPM для SUSE и Debs для Ubuntu.
 #Создайте или измените профили в соответствии с вашим дистрибутивом. В частности, существует небольшой набор важных профилей, которые должны быть подправлены, особенно для набора библиотек '''ld.so'''. Удачи!
-|Ширина=300px
+|Ширина=350px
 }}

← Предыдущая		Версия 10:18, 17 апреля 2008
Строка 104:		Строка 104:

	=== Общие правила ===		=== Общие правила ===
		+
		+	{{Врезка
		+	\|Заголовок=Советы по профилям AppArmor
		+	\|Содержание=* При обучении AppArmor, всегда оставляйте окно терминала открытым, выполнив команду '''tail -f /var/log/audit/audit.log''', чтобы видеть в реальном времени, чем занимается AppArmor.
		+	* Если вам показалось, что AppArmor где-то навредил, grep’ните файл '''APPARMOR /var/log/audit/audit.log'''. Если в нём ничего нет, то причина проблемы – не AppArmor. Если есть, то AppArmor объяснит, почему он что-то заблокировал. Еще лучше запустить '''logprof''', чтобы AppArmor нашел блокирующее событие и спросил, хотите ли вы добавить его в список разрешенных для данного профиля.
		+	* Команда '''complain /etc/apparmor.d/''' быстро переведет всё в complain-режим, разрешающий все действия, так что AppArmor вообще ничего не будет блокировать. И обратно – '''enforce /etc/apparmor.d/''' блокирует всё.
		+	* Прежде чем создавать новый профиль, загляните в /etc/apparmor/profiles/extras/ – нет ли готового профиля, чтобы взять его в качестве исходного: это значительно сократит работу. AppArmor прекрасно улучшает существующие профили.
		+	\|Ширина=350px
		+	}}
		+
	Вопросы о файловом доступе, на которые вы отвечали, лишь номинально относятся к запретам. Намного важнее возможность создать общее правило доступа к файлам. Простейший случай – работа с временными (temporary) файлами, которым обычно намеренно даются случайные имена. Заменив последнюю часть пути шаблоном, вы будете уверены, что программа будет нормально работать, а не закроется с ошибкой, потому что имена временных файлов с каждым запуском меняются.		Вопросы о файловом доступе, на которые вы отвечали, лишь номинально относятся к запретам. Намного важнее возможность создать общее правило доступа к файлам. Простейший случай – работа с временными (temporary) файлами, которым обычно намеренно даются случайные имена. Заменив последнюю часть пути шаблоном, вы будете уверены, что программа будет нормально работать, а не закроется с ошибкой, потому что имена временных файлов с каждым запуском меняются.

← Предыдущая		Версия 10:17, 17 апреля 2008
Строка 102:		Строка 102:

	Получив ответ на все вопросы, genprof вновь попросит перейти к сканированию журнала; на сей раз нажмите F. Программа genprof завершится, переведя профиль Apache в режим подавления (enforce-режим). Вам не потребуется перезапускать Apache; AppArmor может изменять статус профилей на фоне запущенного процесса. Теперь ваша система функционирует с ограничениями AppArmor согласно созданной вами политике. Эта политика будет работать и после перезагрузки – вы можете посмотреть ее в '''/etc/apparmor.d/usr.sbin.httpd2-prefork'''.		Получив ответ на все вопросы, genprof вновь попросит перейти к сканированию журнала; на сей раз нажмите F. Программа genprof завершится, переведя профиль Apache в режим подавления (enforce-режим). Вам не потребуется перезапускать Apache; AppArmor может изменять статус профилей на фоне запущенного процесса. Теперь ваша система функционирует с ограничениями AppArmor согласно созданной вами политике. Эта политика будет работать и после перезагрузки – вы можете посмотреть ее в '''/etc/apparmor.d/usr.sbin.httpd2-prefork'''.
−
−	~~{{Врезка~~
−	~~\|Заголовок=Советы по профилям AppArmor~~
−	\|Содержание=* При обучении AppArmor, всегда оставляйте окно терминала открытым, выполнив команду '''tail -f /var/log/audit/audit.log''', чтобы видеть в реальном времени, чем занимается AppArmor.
−	* Если вам показалось, что AppArmor где-то навредил, grep’ните файл '''APPARMOR /var/log/audit/audit.log'''. Если в нём ничего нет, то причина проблемы – не AppArmor. Если есть, то AppArmor объяснит, почему он что-то заблокировал. Еще лучше запустить '''logprof''', чтобы AppArmor нашел блокирующее событие и спросил, хотите ли вы добавить его в список разрешенных для данного профиля.
−	* Команда '''complain /etc/apparmor.d/''' быстро переведет всё в complain-режим, разрешающий все действия, так что AppArmor вообще ничего не будет блокировать. И обратно – '''enforce /etc/apparmor.d/''' блокирует всё.
−	* Прежде чем создавать новый профиль, загляните в /etc/apparmor/profiles/extras/ – нет ли готового профиля, чтобы взять его в качестве исходного: это значительно сократит работу. AppArmor прекрасно улучшает существующие профили.
−	~~\|Ширина=350px~~
−	}}

	=== Общие правила ===		=== Общие правила ===

@@ Строка 171: / Строка 171: @@
 |Ширина=300px
 }}
 Описанный профиль подходит для сервера сетевой группы, поддерживающего web, электронную почту и печать. А как с безопасностью настольных ПК? Используется тот же подход: ограничить все приложения, подверженные атакам из сети. То есть любые приложения, работающие с сетевыми данными.

@@ Строка 158: / Строка 158: @@
 === ПК на замке ===
 <div id="Врезка2"></div>
 {{Врезка
@@ Строка 177: / Строка 171: @@
 |Ширина=300px
 }}
 Проект AppArmor также пытается привлечь больше участников из сообщества Open Source. Если вы администратор или пользователь Linux, вы можете запускать приложения для своих целей и публиковать результаты в списке рассылки apparmor-general ([http://forge.novell.com/mailman/listinfo/apparmor-general http://forge.novell.com/mailman/listinfo/apparmor-general]). Если вы разработчик приложений, подумайте над разработкой и распространением профилей AppArmor с вашим приложением. Намного легче обслуживать профили AppArmor, если они являются частью процесса разработки приложения. Или вы можете помочь в разработке новых возможностей AppArmor. Узнайте больше, посетив [http://en.opensuse.org/Apparmor http://en.opensuse.org/Apparmor]

@@ Строка 15: / Строка 15: @@
   sudo dpkg -i apparmor-* libapparmor1_2.0-0ubuntu2_i386.deb linux-image-2.6.15-21-386_2.6.15-21.32mr1_i386.deb
-Заметьте, что эти пакеты включают новое ядро, поскольку для поддержки AppArmor необходима небольшая заплатка для ядра. Ubuntu основан на Debian, так что пакеты прекрасно подойдут для Debian, MEPIS и прочих систем на базе Debian. Если вы хотите использовать AppArmor в другой системе Linux, потребуется его портировать – см. врезку [[LXF83:AppArmor#Двигаемся дальше|«Двигаемся дальше»]].
+Заметьте, что эти пакеты включают новое ядро, поскольку для поддержки AppArmor необходима небольшая заплатка для ядра. Ubuntu основан на Debian, так что пакеты прекрасно подойдут для Debian, MEPIS и прочих систем на базе Debian. Если вы хотите использовать AppArmor в другой системе Linux, потребуется его портировать – см. врезку [[LXF83:AppArmor#Врезка2|«Двигаемся дальше»]].
-−
-<!-- TODO: Ссылка -> двигаемся дальше !-->
 === Обезопасим NTPD ===
@@ Строка 53: / Строка 51: @@
 Что же произойдёт, при наличии данного профиля, если злоумышленник припас программу-эксплойт, направленную против ntdp? Будьте спокойны: ничего. У него нет прав на выполнение, а значит, простой shell-код [«полезная нагрузка» эксплойта, выполняющая задуманные злоумышленником действия, – прим. ред.] вида exec(sh) не пройдет. Если ntpd зачем-либо потребуется командная оболочка (shell), злоумышленник сможет запустить ее, но только из-под профиля, и сможет читать и записывать лишь файлы, принадлежащие ntpd на основании профиля. Короче говоря, злоумышленник сможет разве что изменить ваше системное время. AppArmor разрешил ntpd выполнять только конкретные операции – в литературе по безопасности это называется запуском приложения с наименьшими привилегиями.
-== Как устроен AppArmor ==
+{{Врезка
 *'''Ядро Linux 2.6''' Имеет новый интерфейс модулей безопасности Linux (Linux Security Modules), допускающий подключаемые модули безопасности. Процессы пользователя обращаются к ядру, которое при помощи всех загруженных LSM-модулей прове ряет корректность доступа.
@@ Строка 65: / Строка 67: @@
 *'''Yast-интерфейс''' В системах без Yast, AppArmor может управляться посредством его родного интерфейса командной строки.
 == Как обезопасить Apache и другие приложения ==
@@ Строка 162: / Строка 165: @@
 Гибкость Черного списка всей системы AppArmor позволяет обезопасить только те программы, которые внушают беспокойство. Платой за удобство является необходимость определения таких программ, для чего надо представить себе источники угрозы. Многие из нас ожидают угрозу преимущественно из сети, вот почему программа unconfined столь полезна. По-программный Черный список AppArmor разрешает каждой программе делать только то, что ей полагается, и ничего другого, игнорируя атаки злоумышленников. Комбинация списков помогает вам контролировать работу вашей системы легко и эффективно. Наслаждайтесь!
+<div id="Врезка2"></div>
-== Двигаемся дальше ==
+{{Врезка
 Если вы не являетесь пользователем SUSE или Debian, но хотите добавить брони AppArmor в вашу систему Linux, то программу можно портировать. Исходный код ([http://forge.novell.com/modules/xfmod/project/?apparmor http://forge.novell.com/modules/xfmod/project/?apparmor]) не зависит от архитектуры и поддерживается на всех аппаратных платформах SUSE Linux (x86, x86-64, Itanium, PowerPC, и Z-series) – один из разработчиков AppArmor в свое свободное время портировал его на свой Sharp Zaurus PDA (ARM). Вот шаги для успешного портирования:
 #Установите на ядро заплатку, экспортирующую семафор пространства имен для ядра 2.6.15 или выше.
@@ Строка 170: / Строка 175: @@
 #Создайте пакет для вашего дистрибутива аналогично RPM для SUSE и Debs для Ubuntu.
 #Создайте или измените профили в соответствии с вашим дистрибутивом. В частности, существует небольшой набор важных профилей, которые должны быть подправлены, особенно для набора библиотек '''ld.so'''. Удачи!
 Проект AppArmor также пытается привлечь больше участников из сообщества Open Source. Если вы администратор или пользователь Linux, вы можете запускать приложения для своих целей и публиковать результаты в списке рассылки apparmor-general ([http://forge.novell.com/mailman/listinfo/apparmor-general http://forge.novell.com/mailman/listinfo/apparmor-general]). Если вы разработчик приложений, подумайте над разработкой и распространением профилей AppArmor с вашим приложением. Намного легче обслуживать профили AppArmor, если они являются частью процесса разработки приложения. Или вы можете помочь в разработке новых возможностей AppArmor. Узнайте больше, посетив [http://en.opensuse.org/Apparmor http://en.opensuse.org/Apparmor]