{"id":3760,"date":"2023-09-13T11:47:40","date_gmt":"2023-09-13T09:47:40","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=3760"},"modified":"2023-09-13T11:47:42","modified_gmt":"2023-09-13T09:47:42","slug":"apparmor-zusaetzliche-sicherheit-unter-debian-durch-einschraenkung-von-anwendungen","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2023\/09\/13\/apparmor-zusaetzliche-sicherheit-unter-debian-durch-einschraenkung-von-anwendungen\/","title":{"rendered":"AppArmor – Zus\u00e4tzliche Sicherheit unter Debian durch Einschr\u00e4nkung von Anwendungen"},"content":{"rendered":"\n

AppArmor ist ein Dienst unter Debian<\/a>, mit dem man sich zusätzliche Sicherheit schaffen kann. Diese zusätzliche Sicherheit wird dadurch geschaffen, dass Anwendungen \/ Prozesse in ihren Rechten eingeschränkt werden – genauer gesagt – die Anwendungen \/ Prozesse haben nur auf diese Verzeichnis<\/a>se und Datei<\/a>en Zugriff, auf die sie solche Rechte auch benötigen. In diesem Artikel der Linux<\/a> Bibel sehen wir uns diese Software etwas genauer an.
Diese Anleitung kann unter Debian<\/a> genutzt werden und sollte auch unter Ubuntu und darauf basierenden Distribution<\/a>en funktionieren.<\/p>\n\n\n\n

Voraussetzungen schaffen<\/h2>\n\n\n\n

Über die Paket-Verwaltung<\/a> installieren Sie folgende Paket<\/a>e „apparmor apparmor-profiles apparmor-profiles-extra apparmor-utils<\/strong>„.

Nach der Installation gilt es AppArmor mit dem System von Beginn an automatisch starten zu lassen. Dafür sehen Sie sich zuerst an, ob es das Verzeichnis<\/a> „\/etc\/default\/grub.d\/<\/em>“ gibt – am Terminal<\/a> geben Sie dazu folgenden Befehl<\/a> ein:<\/p>\n\n\n\n

ls \/etc\/default\/grub.d\/<\/code><\/pre>\n\n\n\n
Ist das Verzeichnis<\/a> nicht vorhanden, erstellen Sie dieses als Administrator<\/a> am Terminal<\/a> mit dem Befehl<\/a>:<\/p>\n\n\n\n
mkdir -p \/etc\/default\/grub.d<\/code><\/pre>\n\n\n\n
Anschließend und ebenfalls als Administrator<\/a> am Terminal<\/a> erstellen wir nun die Konfiguration<\/a> mit folgendem Befehl<\/a>:<\/p>\n\n\n\n
echo 'GRUB_CMDLINE_LINUX_DEFAULT=\"$GRUB_CMDLINE_LINUX_DEFAULT apparmor=1 security=apparmor\"' | tee \/etc\/default\/grub.d\/apparmor.cfg<\/code><\/pre>\n\n\n\n
Nun zeigen wir dem Bootloader GRUB seine neue Konfiguration<\/a>:<\/p>\n\n\n\n
update-grub<\/code><\/pre>\n\n\n\n
Anschließend starten Sie den Rechner neu.<\/p>\n\n\n\n
AppArmor anpassen<\/h2>\n\n\n\n
Nach den oben vorgenommenen Anpassungen sollte AppArmor laufen, dies können wir als normaler Benutzer am Terminal<\/a> mit folgendem Befehl<\/a> erfragen:<\/p>\n\n\n\n
cat \/sys\/module\/apparmor\/parameters\/enabled<\/code><\/pre>\n\n\n\n
Erhalten wir eine Ausgabe wie die folgende läuft die Software:<\/p>\n\n\n\n
Y<\/code><\/pre>\n\n\n\n
<\/p>\n\n\n
\n
\"\"<\/a><\/figure>\n<\/div>\n\n\n
Nun können wir uns als Administrator<\/a> mit folgendem Befehl<\/a> den Status ansehen:<\/p>\n\n\n\n
aa-status<\/code><\/pre>\n\n\n
\n
\"\"<\/a><\/figure>\n<\/div>\n\n\n
Sehen wir uns die Ausgabe (in diesem Beispiel<\/em>) als Text an:<\/p>\n\n\n\n
apparmor module is loaded.\n53 profiles are loaded.\n34 profiles are in enforce mode.\n   \/usr\/bin\/akonadiserver\n   \/usr\/bin\/evince\n   \/usr\/bin\/evince-previewer\n   \/usr\/bin\/evince-previewer\/\/sanitized_helper\n   \/usr\/bin\/evince-thumbnailer\n   \/usr\/bin\/evince\/\/sanitized_helper\n   \/usr\/bin\/man\n   \/usr\/bin\/pidgin\n   \/usr\/bin\/pidgin\/\/sanitized_helper\n   \/usr\/bin\/totem\n   \/usr\/bin\/totem-audio-preview\n   \/usr\/bin\/totem-video-thumbnailer\n   \/usr\/bin\/totem\/\/sanitized_helper\n   \/usr\/lib\/cups\/backend\/cups-pdf\n   \/usr\/lib\/x86_64-linux-gnu\/lightdm\/lightdm-guest-session\n   \/usr\/lib\/x86_64-linux-gnu\/lightdm\/lightdm-guest-session\/\/chromium\n   \/usr\/sbin\/cups-browsed\n   \/usr\/sbin\/cupsd\n   \/usr\/sbin\/cupsd\/\/third_party\n   \/usr\/sbin\/gpsd\n   \/usr\/sbin\/haveged\n   apt-cacher-ng\n   firejail-default\n   libreoffice-senddoc\n   libreoffice-soffice\/\/gpg\n   libreoffice-xpdfimport\n   lsb_release\n   man_filter\n   man_groff\n   mariadbd_akonadi\n   mysqld_akonadi\n   nvidia_modprobe\n   nvidia_modprobe\/\/kmod\n   postgresql_akonadi\n19 profiles are in complain mode.\n   \/usr\/bin\/irssi\n   avahi-daemon\n   dnsmasq\n   dnsmasq\/\/libvirt_leaseshelper\n   identd\n   klogd\n   libreoffice-oosplash\n   libreoffice-soffice\n   mdnsd\n   nmbd\n   nscd\n   php-fpm\n   ping\n   smbd\n   smbldap-useradd\n   smbldap-useradd\/\/\/etc\/init.d\/nscd\n   syslog-ng\n   syslogd\n   traceroute\n0 profiles are in kill mode.\n0 profiles are in unconfined mode.\n6 processes have profiles defined.\n4 processes are in enforce mode.\n   \/usr\/bin\/akonadiserver (7219) \n   \/usr\/sbin\/cups-browsed (1370) \n   \/usr\/sbin\/cupsd (947) \n   \/usr\/sbin\/haveged (604) \n2 processes are in complain mode.\n   \/usr\/sbin\/avahi-daemon (611) avahi-daemon\n   \/usr\/sbin\/avahi-daemon (659) avahi-daemon\n0 processes are unconfined but have a profile defined.\n0 processes are in mixed mode.\n0 processes are in kill mode.<\/code><\/pre>\n\n\n\n
Folgende Ausgabe:<\/p>\n\n\n\n
apparmor module is loaded.<\/code><\/pre>\n\n\n\n
<\/a>bedeutet natürlich das AppArmor ohne Probleme läuft.<\/p>\n\n\n\n
53 profiles are loaded<\/code><\/pre>\n\n\n\n
zeigt uns, dass 53 Profile (Regeln für Anwendungen \/ Prozesse<\/em>) geladen sind – 53 Anwendungen \/ Prozesse werden also durch AppArmor eingeschränkt. Nun wird es interessant – es gibt verschiedene Modi in denen Profile laufen können:<\/p>\n\n\n\n