Михаэль Кофлер - Linux 2013. Установка, настройка, администрирование.

AppArmor.

AppArmor в SUSE
Конфигурация и запуск
В openSUSE 12.1 и выше AppArmor больше не устанавливается по умолчанию.
Если вы хотите работать с AppArmor, то сначала нужно установить соответствующие пакеты. Проще всего для этого активизировать в YaST-модуле Установка
и удаление программ схему Novell AppArmor.
AppArmor запускается в начале процесса Init-V сценарием /etc/init.d/boot.
apparmor. Этот сценарий обращается к функциям, определяемым в файле /lib/apparmor/
rc.apparmor.functions. Команда boot.apparmor считывает базовую конфигурацию из
каталога /etc/apparmor и загружает все файлы правил из каталога /etc/apparmor.d.
В отличие от SELinux, в AppArmor пока разработаны надежные защитные профили для небольшого количества программ. Отдельные профили, требующие
доработки, находятся в каталоге /etc/apparmor/profiles/extras. Однако они уже
много лет имеют статус экспериментальных и по умолчанию не активизируются.
Изменения, внесенные в конфигурацию, вступят в силу только после того, как
вы заново запустите AppArmor или считаете файлы правил:
root# /etc/init.d/boot.apparmor restart
root# /etc/init.d/boot.apparmor reload

(Перезапустить AppArmor)
(Заново загрузить правила AppArmor)

Модули YaST
Для управления AppArmor в конфигурационной программе YaST дистрибутива
SUSE предусмотрены различные модули (рис. 29.2). В контрольной панели

768

Глава 29. SELinux и AppArmor

AppArmor программу можно (де)активировать либо выбрать для отдельных профилей режим enforce или complain. В режиме complain нарушения правил регистрируются, но работа «ошибающейся» программы не прекращается.

Рис. 29.2. Конфигурация AppArmor с помощью YaST

В модуле Edit Profile (Редактировать профиль) можно изменять имеющийся
профиль. Но, как правило, лучше обрабатывать файл правил в обычном текстовом
редакторе. При составлении правил модуль YaST предоставляет только некоторые
вспомогательные функции.
Гораздо интереснее модуль Add Profile Wizard (Ассистент для добавления профилей): с его помощью вы можете в своеобразном учебном режиме сами разработать
защитный профиль для программы. Для этого приложение запускается, а потом
вы пробуете как можно больше ее функций. На этом этапе программа еще не защищена AppArmor, поэтому необходимо полностью исключить возможность атаки
во время такого обучения. Ассистент регистрирует все обращения программы
к файлам и предлагает правила, подходящие для защиты программы. Теперь вы
должны утвердить или изменить отдельные правила. Полученный в результате
профиль будет сохранен под именем /etc/apparmor.d/programmname.
С помощью ассистента вам будет достаточно просто создавать собственные защитные профили. Однако полученные таким образом профили скорее всего будут
неидеальны: с одной стороны, работая с программой, вы вполне можете не проверить
некоторые ее функции, а для них будут нужны дополнительные правила. С другой — автоматическое генерирование правил безопасности говорит о невысоком
качестве таких правил. Таким образом, после работы ассистента вам предстоит
вручную внести еще некоторые доработки профиля безопасности.
Если с имеющимся профилем возникают проблемы, вы можете использовать
Update Profile Wizard (Ассистент для обновления профилей), чтобы дополнить профиль новыми правилами. Ассистент изучает файлы AppArmor, в которые занесена
информация о возникших ошибках, и вырабатывает новые правила на базе этой
информации.

--">