Nach der Installation gilt es AppArmor mit dem System von Beginn an automatisch starten zu lassen. Daf\u00fcr sehen Sie sich zuerst an, ob es das Verzeichnis „\/etc\/default\/grub.d\/<\/em>“ gibt – am Terminal<\/a> geben Sie dazu folgenden Befehl ein:<\/p>\n\n\n\n
ls \/etc\/default\/grub.d\/<\/code><\/pre>\n\n\n\nIst das Verzeichnis nicht vorhanden, erstellen Sie dieses als Administrator<\/a> am Terminal mit dem Befehl:<\/p>\n\n\n\nmkdir -p \/etc\/default\/grub.d<\/code><\/pre>\n\n\n\nAnschlie\u00dfend und ebenfalls als Administrator am Terminal erstellen wir nun die Konfiguration mit folgendem Befehl:<\/p>\n\n\n\n
echo 'GRUB_CMDLINE_LINUX_DEFAULT=\"$GRUB_CMDLINE_LINUX_DEFAULT apparmor=1 security=apparmor\"' | tee \/etc\/default\/grub.d\/apparmor.cfg<\/code><\/pre>\n\n\n\nNun zeigen wir dem Bootloader GRUB seine neue Konfiguration:<\/p>\n\n\n\n
update-grub<\/code><\/pre>\n\n\n\nAnschlie\u00dfend starten Sie den Rechner neu.<\/p>\n\n\n\n
AppArmor anpassen<\/h2>\n\n\n\n
Nach den oben vorgenommenen Anpassungen sollte AppArmor laufen, dies k\u00f6nnen wir als normaler Benutzer am Terminal mit folgendem Befehl erfragen:<\/p>\n\n\n\n
cat \/sys\/module\/apparmor\/parameters\/enabled<\/code><\/pre>\n\n\n\nErhalten wir eine Ausgabe wie die folgende l\u00e4uft die Software:<\/p>\n\n\n\n
Y<\/code><\/pre>\n\n\n\n<\/p>\n\n\n
\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/Appamor-01-1024x576.jpg\")
<\/a><\/figure>\n<\/div>\n\n\nNun k\u00f6nnen wir uns als Administrator mit folgendem Befehl den Status ansehen:<\/p>\n\n\n\n
aa-status<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/Appamor-02-1024x576.jpg\")
<\/a><\/figure>\n<\/div>\n\n\nSehen wir uns die Ausgabe (in diesem Beispiel<\/em>) als Text an:<\/p>\n\n\n\napparmor module is loaded.\n53 profiles are loaded.\n34 profiles are in enforce mode.\n \/usr\/bin\/akonadiserver\n \/usr\/bin\/evince\n \/usr\/bin\/evince-previewer\n \/usr\/bin\/evince-previewer\/\/sanitized_helper\n \/usr\/bin\/evince-thumbnailer\n \/usr\/bin\/evince\/\/sanitized_helper\n \/usr\/bin\/man\n \/usr\/bin\/pidgin\n \/usr\/bin\/pidgin\/\/sanitized_helper\n \/usr\/bin\/totem\n \/usr\/bin\/totem-audio-preview\n \/usr\/bin\/totem-video-thumbnailer\n \/usr\/bin\/totem\/\/sanitized_helper\n \/usr\/lib\/cups\/backend\/cups-pdf\n \/usr\/lib\/x86_64-linux-gnu\/lightdm\/lightdm-guest-session\n \/usr\/lib\/x86_64-linux-gnu\/lightdm\/lightdm-guest-session\/\/chromium\n \/usr\/sbin\/cups-browsed\n \/usr\/sbin\/cupsd\n \/usr\/sbin\/cupsd\/\/third_party\n \/usr\/sbin\/gpsd\n \/usr\/sbin\/haveged\n apt-cacher-ng\n firejail-default\n libreoffice-senddoc\n libreoffice-soffice\/\/gpg\n libreoffice-xpdfimport\n lsb_release\n man_filter\n man_groff\n mariadbd_akonadi\n mysqld_akonadi\n nvidia_modprobe\n nvidia_modprobe\/\/kmod\n postgresql_akonadi\n19 profiles are in complain mode.\n \/usr\/bin\/irssi\n avahi-daemon\n dnsmasq\n dnsmasq\/\/libvirt_leaseshelper\n identd\n klogd\n libreoffice-oosplash\n libreoffice-soffice\n mdnsd\n nmbd\n nscd\n php-fpm\n ping\n smbd\n smbldap-useradd\n smbldap-useradd\/\/\/etc\/init.d\/nscd\n syslog-ng\n syslogd\n traceroute\n0 profiles are in kill mode.\n0 profiles are in unconfined mode.\n6 processes have profiles defined.\n4 processes are in enforce mode.\n \/usr\/bin\/akonadiserver (7219) \n \/usr\/sbin\/cups-browsed (1370) \n \/usr\/sbin\/cupsd (947) \n \/usr\/sbin\/haveged (604) \n2 processes are in complain mode.\n \/usr\/sbin\/avahi-daemon (611) avahi-daemon\n \/usr\/sbin\/avahi-daemon (659) avahi-daemon\n0 processes are unconfined but have a profile defined.\n0 processes are in mixed mode.\n0 processes are in kill mode.<\/code><\/pre>\n\n\n\nFolgende Ausgabe:<\/p>\n\n\n\n
apparmor module is loaded.<\/code><\/pre>\n\n\n\n<\/a>bedeutet nat\u00fcrlich das AppArmor ohne Probleme l\u00e4uft.<\/p>\n\n\n\n53 profiles are loaded<\/code><\/pre>\n\n\n\nzeigt uns, dass 53 Profile (Regeln f\u00fcr Anwendungen \/ Prozesse<\/em>) geladen sind – 53 Anwendungen \/ Prozesse werden also durch AppArmor eingeschr\u00e4nkt. Nun wird es interessant – es gibt verschiedene Modi in denen Profile laufen k\u00f6nnen:<\/p>\n\n\n\n\n- complain<\/strong> – Der Modus, in dem ein Profil lernt, was der Prozess darf und was nicht<\/li>\n\n\n\n
- enforce<\/strong> – Dies ist der Idealzustand, der Prozess l\u00e4uft nach den Regeln des Profils<\/li>\n\n\n\n
- audit<\/strong> – Es werden Zugriffe auf Dateien und Verzeichnisse sowie Regelverst\u00f6\u00dfe aufgezeichnet, ideal um zu sehen, worauf eine Software zugreifen k\u00f6nnen sollte oder will<\/li>\n<\/ul>\n\n\n\n
Nun gehen wir zur\u00fcck zu unserer Ausgabe:<\/p>\n\n\n\n
34 profiles are in enforce mode.<\/code><\/pre>\n\n\n\n34 Profile laufen im „enforce<\/strong>„-Modus, schr\u00e4nken die darunter verzeichneten Prozesse wie es soll in ihren Rechten ein. Weitere 19 Prozesse laufen im „complain<\/strong>„-Modus, lernen also was sie tun d\u00fcrfen und was nicht und so weiter und so fort – das Lernen geschieht teilweise automatisch, vor allem kurz nach der Installation.
Nun k\u00f6nnen wir uns auch ansehen, welche Prozesse nicht gesch\u00fctzt sind:<\/p>\n\n\n\naa-unconfined\naa-unconfined --paranoid<\/code><\/pre>\n\n\n\nDiese Liste ist etwas l\u00e4nger:<\/p>\n\n\n
\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/Appamor-03-1024x576.jpg\")
<\/a><\/figure>\n<\/div>\n\n\nVor allem nach dem zweiten Befehl:<\/p>\n\n\n
\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/Appamor-04-1024x576.jpg\")
<\/a><\/figure>\n<\/div>\n\n\nNun, f\u00fcr viele nicht eingeschr\u00e4nkte Prozesse haben wir uns das Paket „apparmor-profiles-extra<\/strong>“ installiert, diese Profile liegen unter „\/usr\/share\/apparmor\/extra-profiles\/<\/em>“ und sind nicht aktiviert. Diese lassen sich nun etwa mit dem Befehl:<\/p>\n\n\n\nls \/usr\/share\/apparmor\/extra-profiles\/ | less<\/code><\/pre>\n\n\n\nanzeigen:<\/p>\n\n\n
\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/Appamor-05-1024x576.jpg\")
<\/a><\/figure>\n<\/div>\n\n\nOder nat\u00fcrlich auch im grafischen Dateimanager:<\/p>\n\n\n
\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/Appamor-06-1024x576.jpg\")
<\/a><\/figure>\n<\/div>\n\n\nEin Profil nennt sich so wie der Pfad zu seiner ausf\u00fchrbaren Datei, also f\u00fcr Skype etwa „\/usr\/bin\/skype<\/em>“ – so nennt sich das Profil „usr.bin.skype<\/strong>„. M\u00f6chte ich ein Profil nun aktivieren, um die jeweilige Anwendung einzuschr\u00e4nken, gilt es das dazu passende in das Verzeichnis „\/etc\/apparmor.d\/“ zu kopieren – also f\u00fcr das obige Beispiel:<\/p>\n\n\n\ncp \/usr\/share\/apparmor\/extra-profiles\/usr.bin.skype \/etc\/apparmor.d\/<\/code><\/pre>\n\n\n\nAnschlie\u00dfend gilt es das Profil in den jeweiligen Modus zu versetzen – in der Regel sollte es bei bestehenden Profilen gen\u00fcgen diese einfach in den „enforce<\/strong>„-Modus zu versetzen – also (bei nicht laufender Software – hier eben Skype<\/em>):<\/p>\n\n\n\naa-enforce \/etc\/apparmor.d\/usr.bin.skype<\/code><\/pre>\n\n\n\nNun testet man die Software – in diesem Beispiel eben Skype, funktioniert alles so wie es soll – perfekt. Gibt es mit Funktionen Probleme, beenden Sie die Software, versetzen Sie das Profil in den Lern-Modus (die Software darf beim \u00c4ndern in den Lern-Modus nicht laufen<\/em>):<\/p>\n\n\n\naa-complain \/etc\/apparmor.d\/usr.bin.skype<\/code><\/pre>\n\n\n\nNun starten Sie die Software – in diesem Fall eben Skype und f\u00fchren alle Funktionen aus – unter anderem eben auch aktivieren der Kamera, speichern von Dateien, Zugriff auf die gew\u00fcnschten Verzeichnisse, … haben Sie alle Funktionen ausgef\u00fchrt beenden Sie die Software und versetzen deren Profil wieder in den „enforce<\/strong>„-Modus.<\/p>\n\n\n\nSelbst Profile erstellen<\/h2>\n\n\n\n
Nun gibt es nat\u00fcrlich etliche Anwendungen, f\u00fcr die es keine Profile gibt, beispielsweise gibt es ein Profil f\u00fcr Firefox<\/a> unter „\/usr\/share\/apparmor\/extra-profiles\/<\/em>“ – es ist aber nicht aktiviert – aber keines f\u00fcr Google Chrome. M\u00f6chte man ein solches erstellen – kein Problem, f\u00fcr welche Anwendung oder welchen Prozess auch immer, alles l\u00e4sst sich selbst anfertigen.
Nehmen wir einmal das Beispiel Google Chrome – als Erstes gilt es zu erfahren, wie sich die ausf\u00fchrbare Datei nennt – ein Blick in das Anwendungsmen\u00fc f\u00fchrt meist zum Ziel – hier etwa unter KDE:<\/p>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/Appamor-07-1024x576.jpg\" "\\"apparmor-6.jpg")
<\/a><\/figure>\n<\/div>\n\n\n
![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/Appamor-08-1024x576.jpg\")
<\/a><\/figure>\n<\/div>\n\n\n![\"Gef\u00e4llt](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Hoch.png\")
\r\n <\/a>\r\n ![\"Gef\u00e4llt](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Runter.png\")
\r\n <\/a>\r\n