| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| apparmor [Le 30/05/2016, 08:39] – [Notifications de violations] mineur 85.218.40.80 | apparmor [Le 04/07/2022, 09:17] (Version actuelle) – vandalisme 82.65.90.171 |
|---|
| |
| Il s'agit plus précisément d'un outil qui permet de verrouiller les applications en limitant strictement leur accès aux seules ressources auxquelles elles ont droit sans perturber leur fonctionnement. | Il s'agit plus précisément d'un outil qui permet de verrouiller les applications en limitant strictement leur accès aux seules ressources auxquelles elles ont droit sans perturber leur fonctionnement. |
| | |
| |
| ===== Installation ===== | ===== Installation ===== |
| |
| Le répertoire **/etc/apparmor.d** est l'endroit où se situent les profils d'AppArmor. Il peut être utilisé pour manipuler le mode de l'ensemble des profils.\\ | Le répertoire **/etc/apparmor.d** est l'endroit où se situent les profils d'AppArmor. Il peut être utilisé pour manipuler le mode de l'ensemble des profils.\\ |
| Cette commande va lancer tout les profils en mode ''enforce'' : | Cette commande va lancer tous les profils en mode ''enforce'' : |
| <code> | <code> |
| sudo aa-enforce /etc/apparmor.d/*</code> | sudo aa-enforce /etc/apparmor.d/*</code> |
| Celle-ci va tous les mettre en mode ''complain'' (recommandation) : <code>sudo aa-complain /etc/apparmor.d/*</code> | Celle-ci va tous les mettre en mode ''complain'' (recommandation) : <code>sudo aa-complain /etc/apparmor.d/*</code> |
| Pour mettre seulement le profil d'une application en marche: | Pour mettre seulement le profil d'une application en marche: |
| | <code> |
| sudo aa-enforce firefox | sudo aa-enforce firefox |
| </code> | </code> |
| Il existe deux grands types de règles utilisées dans les profils : | Il existe deux grands types de règles utilisées dans les profils : |
| * ''Path entries'' : les fichiers auxquels une application peut avoir accès dans le système de fichier. | * ''Path entries'' : les fichiers auxquels une application peut avoir accès dans le système de fichier. |
| * ''Capability entries'' : détermine les privilèges qu'un processus restreint est autoriser à utiliser. | * ''Capability entries'' : détermine les privilèges qu'un processus restreint est autorisé à utiliser. |
| |
| À titre d'exemple, regardez le fichier **/etc/apparmor.d/bin.ping** : <file> /etc/apparmor.d/bin.ping> | À titre d'exemple, regardez le fichier **/etc/apparmor.d/bin.ping** : <file> /etc/apparmor.d/bin.ping> |
| <code>sudo aa-genprof /chemin/vers/mon/processus</code> | <code>sudo aa-genprof /chemin/vers/mon/processus</code> |
| |
| === Processus de type deamon === | === Processus de type daemon === |
| |
| On crée d'abord un profil temporaire à l'aide de la commande ''aa-autodep''. On laisse tourner le processus à confiner durant le temps nécessaire, puis on corrige le fichier de profil à l'aide des messages laissés dans les fichiers log, grâce à la commande ''aa-logprof''. Au besoin, on continue à laisser tourner le processus et on relance la commande ''aa-logprof'', jusqu'à ce que le fichier de profil soit adéquat. On peut alors placer ce fichier en mode //enforced// : <code>sudo aa-autodep /chemin/vers/mon/processus</code> | On crée d'abord un profil temporaire à l'aide de la commande ''aa-autodep''. On laisse tourner le processus à confiner durant le temps nécessaire, puis on corrige le fichier de profil à l'aide des messages laissés dans les fichiers log, grâce à la commande ''aa-logprof''. Au besoin, on continue à laisser tourner le processus et on relance la commande ''aa-logprof'', jusqu'à ce que le fichier de profil soit adéquat. On peut alors placer ce fichier en mode //enforced// : <code>sudo aa-autodep /chemin/vers/mon/processus</code> |
| ====Mise à jour des profils==== | ====Mise à jour des profils==== |
| |
| Lorsque le programme ne se comporte pas correctement, des messages d'audit sont journalisés. L'application ''aa-logprof'' peut être utilisée pour analyser les massages d'audit AppArmor dans les fichiers journaux. Examinez-les puis mettez à jour le profil. Dans un terminal : | Lorsque le programme ne se comporte pas correctement, des messages d'audit sont journalisés. L'application ''aa-logprof'' peut être utilisée pour analyser les messages d'audit AppArmor dans les fichiers journaux. Examinez-les puis mettez à jour le profil. Dans un terminal : |
| <code>sudo aa-logprof</code> | <code>sudo aa-logprof</code> |
| |
| |
| * [[https://code.launchpad.net/apparmor-profiles|Sur launchpad]] | * [[https://code.launchpad.net/apparmor-profiles|Sur launchpad]] |
| * [[http://bodhizazen.net/Tutorials/aa|Les profiles de bodhy zazen]] | |
| * [[https://wiki.ubuntu.com/AppArmor|Wiki ubuntu Apparmor]] | * [[https://wiki.ubuntu.com/AppArmor|Wiki ubuntu Apparmor]] |
| * [[https://wiki.ubuntu.com/DebuggingApparmor|Wiki Ubuntu DebuggingApparmor]] | * [[https://wiki.ubuntu.com/DebuggingApparmor|Wiki Ubuntu DebuggingApparmor]] |
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International