The wikis are now using the new authentication system.
If you did not migrate your account yet, visit https://idp-portal-info.suse.com/

AppArmor

Wechseln zu: Navigation, Suche
AppArmor ist eine Sicherheitsanwendung, die mit Hilfe der Linux Security Model-Kernel Schnittstelle Profile für Anwendungen erstellen kann, welche die Anwendungen in ihren Möglichkeiten einschränken.
Getestet mit openSUSE Empfohlene Artikel Verwandte Artikel
Icon-checked.png

Icon-manual.png Icon-help.png


AppArmor

Package yast apparmor.png


Download für openSUSE:


Hersteller: Immunix / Novell / Mercenary Linux / Canonical

Lizenz: GPL
Webseite: gitlab.com/apparmor


Das AppArmor-Projekt

Überblick

AppArmor ist in openSUSE Linux enthalten und ist ein einfach zu benutzendes, starkes Sicherheitswerkzeug für Anwendungen. AppArmor schützt das System und die Anwendungen aktiv vor externen und internen Bedrohungen, sogar vor Zero-Day-Attacken, indem es ein gutartiges Programmverhalten erzwingt und die Ausnutzung unbekannter Programmschlupflöcher verhindert. AppArmors Sicherheitsrichtlinien, auch "Profile" genannt, definieren komplett, auf welche Systemmittel eine Anwendung zugreifen darf und welche Rechte sie dabei besitzt. Einige Standardprofile sind schon in AppArmor enthalten und benutzen eine Kombination aus fortgeschrittenen statischen Analysen und lernbasierten Werkzeugen. AppArmor-Profile können gerade für sehr komplexe Anwendungen innerhalb weniger Stunden erfolgreich erstellt werden.

Weitere Informationen sind im Artikel SDB:AppArmor details enthalten.

AppArmor Profile

Globale und Systemeinstellungen sind in /etc/apparmor gespeichert. Anwendungsprofile und mehrere vordefinierte Unterverzeichnisse befinden sich im Verzeichnis /etc/apparmor.d/. Eine ausführlichere Darstellung der Verzeichnisstruktur mit Inhalten ist unter auf der Webseite des Projekts als Policy Layout verfügbar. Wenn /etc/apparmor.d/disable eine Verknüpfung zu einem Profil enthält, wird es nicht automatisch geladen, bei einer Verknüpfung unter /etc/apparmor.d/force-complain wird dass Profile nur im complain-Modus geladen.

AppArmor Utilities

Mit den apparmor-utils stehen folgende Werkzeuge in der Kommandozeile mit Root-Rechten zur Verfügung:

Einen Überblick über die geladenen AppArmor-Profile mit Angabe des Modus erhält man mit

aa-status

Für die Ausgabe der Prozesse mit Netzwerkzugriff ohne Profil nimmt man

aa-unconfined

Um ein Profil in den Audit-Modus zu versetzen

aa-audit 	

Für den Complain-Modus

aa-complain

Für den Enforce-Modus

aa-enforce 	

Für das Erstellen eines Basis-Profils im Complain-Modus

aa-autodep 	

Für das Erstellen eines Basis-Profils mit interaktiver Ergänzung von Regeln und abschliessendem Versetzen des Profils in den Enforce-Modus

aa-genprof 	

Für interaktive Ergänzung von Regeln anhand der Einträge in /var/log/syslog

aa-logprof 	

Und schließlich um das Profil automatisch aufzuräumen

aa-cleanprof 	 

Externe Links