LXF83:AppArmor - История изменений

Lockal: восстановление кавычек в коде AWB

2008-04-27T13:48:30Z

восстановление кавычек в коде AWB

← Предыдущая		Версия 13:48, 27 апреля 2008
Строка 54:		Строка 54:
	\|Заголовок=Как устроен AppArmor		\|Заголовок=Как устроен AppArmor
	\|Содержание=		\|Содержание=
-	[[Изображение:~~Img_83_45_1~~.png\|center]]	+	[[Изображение:Img 83 45 1.png\|center]]

	*'''Ядро Linux 2.6''' Имеет новый интерфейс модулей безопасности Linux (Linux Security Modules), допускающий подключаемые модули безопасности. Процессы пользователя обращаются к ядру, которое при помощи всех загруженных LSM-модулей прове ряет корректность доступа.		*'''Ядро Linux 2.6''' Имеет новый интерфейс модулей безопасности Linux (Linux Security Modules), допускающий подключаемые модули безопасности. Процессы пользователя обращаются к ядру, которое при помощи всех загруженных LSM-модулей прове ряет корректность доступа.
Строка 74:		Строка 74:
	Профили AppArmor достаточно просты: нетрудно сообразить, как создать их вручную. Фактически, когда в 1998 г. появился AppArmor, именно так и делалось. Сейчас AppArmor поставляется с обучающейся системой: вы запускаете ваши приложения как обычно, а AppArmor следит и запоминает, что требуется разрешать приложению.		Профили AppArmor достаточно просты: нетрудно сообразить, как создать их вручную. Фактически, когда в 1998 г. появился AppArmor, именно так и делалось. Сейчас AppArmor поставляется с обучающейся системой: вы запускаете ваши приложения как обычно, а AppArmor следит и запоминает, что требуется разрешать приложению.

-	Выбрав приложение, для которого нужно разработать профиль, вы отсылаете модулю ядра исходный вариант профиля, функционирующий в режиме ~~‘complain’~~ («жалоба»): нарушения политик не блокируются, а записываются в log-файл (журнал). Затем вы запускаете приложение обычным способом, и оно какое-то время работает, заодно заполняя журнал событий, характеризующих его поведение. После этого вы применяете к созданному журналу анализатор AppArmor, который задаст вам интерактивные вопросы о добавлении событий в окончательный профиль.	+	Выбрав приложение, для которого нужно разработать профиль, вы отсылаете модулю ядра исходный вариант профиля, функционирующий в режиме 'complain' («жалоба»): нарушения политик не блокируются, а записываются в log-файл (журнал). Затем вы запускаете приложение обычным способом, и оно какое-то время работает, заодно заполняя журнал событий, характеризующих его поведение. После этого вы применяете к созданному журналу анализатор AppArmor, который задаст вам интерактивные вопросы о добавлении событий в окончательный профиль.

	=== Фабричные профили ===		=== Фабричные профили ===
Строка 108:		Строка 108:
	\|Заголовок=Советы по профилям AppArmor		\|Заголовок=Советы по профилям AppArmor
	\|Содержание=* При обучении AppArmor, всегда оставляйте окно терминала открытым, выполнив команду '''tail -f /var/log/audit/audit.log''', чтобы видеть в реальном времени, чем занимается AppArmor.		\|Содержание=* При обучении AppArmor, всегда оставляйте окно терминала открытым, выполнив команду '''tail -f /var/log/audit/audit.log''', чтобы видеть в реальном времени, чем занимается AppArmor.
-	* Если вам показалось, что AppArmor где-то навредил, ~~grep’ните~~ файл '''APPARMOR /var/log/audit/audit.log'''. Если в нём ничего нет, то причина проблемы – не AppArmor. Если есть, то AppArmor объяснит, почему он что-то заблокировал. Еще лучше запустить '''logprof''', чтобы AppArmor нашел блокирующее событие и спросил, хотите ли вы добавить его в список разрешенных для данного профиля.	+	* Если вам показалось, что AppArmor где-то навредил, grep'ните файл '''APPARMOR /var/log/audit/audit.log'''. Если в нём ничего нет, то причина проблемы – не AppArmor. Если есть, то AppArmor объяснит, почему он что-то заблокировал. Еще лучше запустить '''logprof''', чтобы AppArmor нашел блокирующее событие и спросил, хотите ли вы добавить его в список разрешенных для данного профиля.
	* Команда '''complain /etc/apparmor.d/''' быстро переведет всё в complain-режим, разрешающий все действия, так что AppArmor вообще ничего не будет блокировать. И обратно – '''enforce /etc/apparmor.d/''' блокирует всё.		* Команда '''complain /etc/apparmor.d/''' быстро переведет всё в complain-режим, разрешающий все действия, так что AppArmor вообще ничего не будет блокировать. И обратно – '''enforce /etc/apparmor.d/''' блокирует всё.
	* Прежде чем создавать новый профиль, загляните в /etc/apparmor/profiles/extras/ – нет ли готового профиля, чтобы взять его в качестве исходного: это значительно сократит работу. AppArmor прекрасно улучшает существующие профили.		* Прежде чем создавать новый профиль, загляните в /etc/apparmor/profiles/extras/ – нет ли готового профиля, чтобы взять его в качестве исходного: это значительно сократит работу. AppArmor прекрасно улучшает существующие профили.
Строка 125:		Строка 125:
	Запустите ваше приложение на сколь угодно долгое время, позаботившись, чтобы все журналы сохранялись и не удалялись при ротации. Когда вы посчитаете, что набрали достаточное количество событий, используйте программу logprof для обработки журнала так же, как делает genprof – только logprof прочитает весь файл журнала. logprof имеет ключи командной строки, указывающие, где искать журналы, с какого места журнала начинать анализ и где находится профиль, подлежащий обновлению.		Запустите ваше приложение на сколь угодно долгое время, позаботившись, чтобы все журналы сохранялись и не удалялись при ротации. Когда вы посчитаете, что набрали достаточное количество событий, используйте программу logprof для обработки журнала так же, как делает genprof – только logprof прочитает весь файл журнала. logprof имеет ключи командной строки, указывающие, где искать журналы, с какого места журнала начинать анализ и где находится профиль, подлежащий обновлению.

-	Чтобы полностью разделить процессы обучения и создания профиля, отработайте все обучающие режимы для генерации журнала событий на большой тестовой машине в QA-подразделении, а затем просто отправьте набор профилей и log-файлов по электронной почте эксперту по безопасности, который при помощи logprof преобразует события в профили. По завершении выполните команду enforce, которая работает точно так же, как команда complain, но переводит все профили в режим ~~‘enforce’~~ («подавление»).	+	Чтобы полностью разделить процессы обучения и создания профиля, отработайте все обучающие режимы для генерации журнала событий на большой тестовой машине в QA-подразделении, а затем просто отправьте набор профилей и log-файлов по электронной почте эксперту по безопасности, который при помощи logprof преобразует события в профили. По завершении выполните команду enforce, которая работает точно так же, как команда complain, но переводит все профили в режим 'enforce' («подавление»).

	Эти команды AppArmor могут быть выполнены только из командной оболочки root, причём оболочка должна быть свободна от ограничений AppArmor. Все команды также имеют псевдонимы, начинающиеся с '''aa-''', таким образом вы сможете обнаружить все команды AppArmor в вашей системе, просто набрав '''aa-<TAB>''' в root-строке.		Эти команды AppArmor могут быть выполнены только из командной оболочки root, причём оболочка должна быть свободна от ограничений AppArmor. Все команды также имеют псевдонимы, начинающиеся с '''aa-''', таким образом вы сможете обнаружить все команды AppArmor в вашей системе, просто набрав '''aa-<TAB>''' в root-строке.
Строка 144:		Строка 144:
	Вот листинг результата команды unconfined в защищенной системе (web- и mail-сервер в берлоге автора):		Вот листинг результата команды unconfined в защищенной системе (web- и mail-сервер в берлоге автора):

-	4406 /sbin/dhcpcd confined by ‘/sbin/dhcpcd (enforce)’	+	4406 /sbin/dhcpcd confined by '/sbin/dhcpcd (enforce)'
-	4758 /sbin/portmap confined by ‘/sbin/portmap (enforce)’	+	4758 /sbin/portmap confined by '/sbin/portmap (enforce)'
-	4758 /sbin/portmap confined by ‘/sbin/portmap (enforce)’	+	4758 /sbin/portmap confined by '/sbin/portmap (enforce)'
-	5339 /usr/sbin/sshd confined by ‘/usr/sbin/sshd (enforce)’	+	5339 /usr/sbin/sshd confined by '/usr/sbin/sshd (enforce)'
-	5479 /usr/sbin/httpd2-prefork confined by ‘/usr/sbin/httpd2-prefork (enforce)’	+	5479 /usr/sbin/httpd2-prefork confined by '/usr/sbin/httpd2-prefork (enforce)'
-	6151 /usr/sbin/dhcpd confined by ‘/usr/sbin/dhcpd (enforce)’	+	6151 /usr/sbin/dhcpd confined by '/usr/sbin/dhcpd (enforce)'
-	6151 /usr/sbin/dhcpd confined by ‘/usr/sbin/dhcpd (enforce)’	+	6151 /usr/sbin/dhcpd confined by '/usr/sbin/dhcpd (enforce)'
-	6263 /usr/lib/postfix/master confined by ‘/usr/lib/postfix/master (enforce)’	+	6263 /usr/lib/postfix/master confined by '/usr/lib/postfix/master (enforce)'
-	6263 /usr/lib/postfix/master confined by ‘/usr/lib/postfix/master (enforce)’	+	6263 /usr/lib/postfix/master confined by '/usr/lib/postfix/master (enforce)'
-	6329 /usr/sbin/xinetd confined by ‘/usr/sbin/xinetd (enforce)’	+	6329 /usr/sbin/xinetd confined by '/usr/sbin/xinetd (enforce)'
-	6329 /usr/sbin/xinetd confined by ‘/usr/sbin/xinetd (enforce)’	+	6329 /usr/sbin/xinetd confined by '/usr/sbin/xinetd (enforce)'
-	8767 /usr/sbin/cupsd confined by ‘/usr/sbin/cupsd (enforce)’	+	8767 /usr/sbin/cupsd confined by '/usr/sbin/cupsd (enforce)'
-	8767 /usr/sbin/cupsd confined by ‘/usr/sbin/cupsd (enforce)’	+	8767 /usr/sbin/cupsd confined by '/usr/sbin/cupsd (enforce)'

	=== ПК на замке ===		=== ПК на замке ===

Heeppy: /* ПК на замке */

2008-04-26T08:11:33Z

ПК на замке

← Предыдущая		Версия 08:11, 26 апреля 2008
Строка 170:		Строка 170:
	#Создайте пакет для вашего дистрибутива аналогично RPM для SUSE и Debs для Ubuntu.		#Создайте пакет для вашего дистрибутива аналогично RPM для SUSE и Debs для Ubuntu.
	#Создайте или измените профили в соответствии с вашим дистрибутивом. В частности, существует небольшой набор важных профилей, которые должны быть подправлены, особенно для набора библиотек '''ld.so'''. Удачи!		#Создайте или измените профили в соответствии с вашим дистрибутивом. В частности, существует небольшой набор важных профилей, которые должны быть подправлены, особенно для набора библиотек '''ld.so'''. Удачи!
-	\|Ширина=~~300px~~	+	\|Ширина=350px
	}}		}}

Heeppy: /* Общие правила */

2008-04-17T10:18:09Z

Общие правила

← Предыдущая		Версия 10:18, 17 апреля 2008
Строка 104:		Строка 104:

	=== Общие правила ===		=== Общие правила ===
		+
		+	{{Врезка
		+	\|Заголовок=Советы по профилям AppArmor
		+	\|Содержание=* При обучении AppArmor, всегда оставляйте окно терминала открытым, выполнив команду '''tail -f /var/log/audit/audit.log''', чтобы видеть в реальном времени, чем занимается AppArmor.
		+	* Если вам показалось, что AppArmor где-то навредил, grep’ните файл '''APPARMOR /var/log/audit/audit.log'''. Если в нём ничего нет, то причина проблемы – не AppArmor. Если есть, то AppArmor объяснит, почему он что-то заблокировал. Еще лучше запустить '''logprof''', чтобы AppArmor нашел блокирующее событие и спросил, хотите ли вы добавить его в список разрешенных для данного профиля.
		+	* Команда '''complain /etc/apparmor.d/''' быстро переведет всё в complain-режим, разрешающий все действия, так что AppArmor вообще ничего не будет блокировать. И обратно – '''enforce /etc/apparmor.d/''' блокирует всё.
		+	* Прежде чем создавать новый профиль, загляните в /etc/apparmor/profiles/extras/ – нет ли готового профиля, чтобы взять его в качестве исходного: это значительно сократит работу. AppArmor прекрасно улучшает существующие профили.
		+	\|Ширина=350px
		+	}}
		+
	Вопросы о файловом доступе, на которые вы отвечали, лишь номинально относятся к запретам. Намного важнее возможность создать общее правило доступа к файлам. Простейший случай – работа с временными (temporary) файлами, которым обычно намеренно даются случайные имена. Заменив последнюю часть пути шаблоном, вы будете уверены, что программа будет нормально работать, а не закроется с ошибкой, потому что имена временных файлов с каждым запуском меняются.		Вопросы о файловом доступе, на которые вы отвечали, лишь номинально относятся к запретам. Намного важнее возможность создать общее правило доступа к файлам. Простейший случай – работа с временными (temporary) файлами, которым обычно намеренно даются случайные имена. Заменив последнюю часть пути шаблоном, вы будете уверены, что программа будет нормально работать, а не закроется с ошибкой, потому что имена временных файлов с каждым запуском меняются.

Heeppy: /* Фабричные профили */

2008-04-17T10:17:02Z

Фабричные профили

← Предыдущая		Версия 10:17, 17 апреля 2008
Строка 102:		Строка 102:

	Получив ответ на все вопросы, genprof вновь попросит перейти к сканированию журнала; на сей раз нажмите F. Программа genprof завершится, переведя профиль Apache в режим подавления (enforce-режим). Вам не потребуется перезапускать Apache; AppArmor может изменять статус профилей на фоне запущенного процесса. Теперь ваша система функционирует с ограничениями AppArmor согласно созданной вами политике. Эта политика будет работать и после перезагрузки – вы можете посмотреть ее в '''/etc/apparmor.d/usr.sbin.httpd2-prefork'''.		Получив ответ на все вопросы, genprof вновь попросит перейти к сканированию журнала; на сей раз нажмите F. Программа genprof завершится, переведя профиль Apache в режим подавления (enforce-режим). Вам не потребуется перезапускать Apache; AppArmor может изменять статус профилей на фоне запущенного процесса. Теперь ваша система функционирует с ограничениями AppArmor согласно созданной вами политике. Эта политика будет работать и после перезагрузки – вы можете посмотреть ее в '''/etc/apparmor.d/usr.sbin.httpd2-prefork'''.
-
-	{{Врезка
-	\|Заголовок=Советы по профилям AppArmor
-	\|Содержание=* При обучении AppArmor, всегда оставляйте окно терминала открытым, выполнив команду '''tail -f /var/log/audit/audit.log''', чтобы видеть в реальном времени, чем занимается AppArmor.
-	* Если вам показалось, что AppArmor где-то навредил, grep’ните файл '''APPARMOR /var/log/audit/audit.log'''. Если в нём ничего нет, то причина проблемы – не AppArmor. Если есть, то AppArmor объяснит, почему он что-то заблокировал. Еще лучше запустить '''logprof''', чтобы AppArmor нашел блокирующее событие и спросил, хотите ли вы добавить его в список разрешенных для данного профиля.
-	* Команда '''complain /etc/apparmor.d/''' быстро переведет всё в complain-режим, разрешающий все действия, так что AppArmor вообще ничего не будет блокировать. И обратно – '''enforce /etc/apparmor.d/''' блокирует всё.
-	* Прежде чем создавать новый профиль, загляните в /etc/apparmor/profiles/extras/ – нет ли готового профиля, чтобы взять его в качестве исходного: это значительно сократит работу. AppArmor прекрасно улучшает существующие профили.
-	\|Ширина=350px
-	}}

	=== Общие правила ===		=== Общие правила ===

Heeppy: /* ПК на замке */

2008-04-17T10:11:53Z

ПК на замке

← Предыдущая		Версия 10:11, 17 апреля 2008
Строка 171:		Строка 171:
	\|Ширина=300px		\|Ширина=300px
	}}		}}
-
-

	Описанный профиль подходит для сервера сетевой группы, поддерживающего web, электронную почту и печать. А как с безопасностью настольных ПК? Используется тот же подход: ограничить все приложения, подверженные атакам из сети. То есть любые приложения, работающие с сетевыми данными.		Описанный профиль подходит для сервера сетевой группы, поддерживающего web, электронную почту и печать. А как с безопасностью настольных ПК? Используется тот же подход: ограничить все приложения, подверженные атакам из сети. То есть любые приложения, работающие с сетевыми данными.

Heeppy: /* ПК на замке */

2008-04-17T10:09:27Z

ПК на замке

← Предыдущая		Версия 10:09, 17 апреля 2008
Строка 158:		Строка 158:

	=== ПК на замке ===		=== ПК на замке ===
-	Описанный профиль подходит для сервера сетевой группы, поддерживающего web, электронную почту и печать. А как с безопасностью настольных ПК? Используется тот же подход: ограничить все приложения, подверженные атакам из сети. То есть любые приложения, работающие с сетевыми данными.

-	Некоторые из этих приложений имеют прямой вход из сети, например, почтовый клиент. Другие получают данные из сети опосредованно (например, OpenOffice.org, использующийся для открытия DOC-файлов, которые некто выслал вам в виде почтового вложения). Несмотря на отсутствие прямого соединения с сетью, они осуществляют сетевой ввод и тем создают нешуточную опасность. Анализатор unconfined поможет и здесь, но учтите, что он не сможет найти приложения с чрезвычайно изменчивыми открытыми портами (некоторые IM-клиенты) и, естественно, приложения с опосредованным соединением (такие, как OOo).
-
-	Наша настольная политика защищает систему от сетевых атак, но ничего не делает для защиты от консольного пользователя, поскольку в нашем представлении пользователь – человек опытный, который выложил немалые деньги за свой ПК и полностью его контролирует. Однако на рабочей станции переговорного пункта или в общественном киоске консоль становится основным источником опасности. Для устранения угрозы следует выявить все приложения, предоставляемые терминалом, и убедиться, что все они имеют профиль AppArmor. В данном случае клавиатура и мышь обязаны рассматриваться как угроза, точно такая же, какой сеть является для нашего сервера. Только создав профили для всего, до чего может добраться и использовать злоумышленник, мы можем считать свой долг выполненным.
-
-	Гибкость Черного списка всей системы AppArmor позволяет обезопасить только те программы, которые внушают беспокойство. Платой за удобство является необходимость определения таких программ, для чего надо представить себе источники угрозы. Многие из нас ожидают угрозу преимущественно из сети, вот почему программа unconfined столь полезна. По-программный Черный список AppArmor разрешает каждой программе делать только то, что ей полагается, и ничего другого, игнорируя атаки злоумышленников. Комбинация списков помогает вам контролировать работу вашей системы легко и эффективно. Наслаждайтесь!
	<div id="Врезка2"></div>		<div id="Врезка2"></div>
	{{Врезка		{{Врезка
Строка 177:		Строка 171:
	\|Ширина=300px		\|Ширина=300px
	}}		}}
		+
		+
		+
		+	Описанный профиль подходит для сервера сетевой группы, поддерживающего web, электронную почту и печать. А как с безопасностью настольных ПК? Используется тот же подход: ограничить все приложения, подверженные атакам из сети. То есть любые приложения, работающие с сетевыми данными.
		+
		+	Некоторые из этих приложений имеют прямой вход из сети, например, почтовый клиент. Другие получают данные из сети опосредованно (например, OpenOffice.org, использующийся для открытия DOC-файлов, которые некто выслал вам в виде почтового вложения). Несмотря на отсутствие прямого соединения с сетью, они осуществляют сетевой ввод и тем создают нешуточную опасность. Анализатор unconfined поможет и здесь, но учтите, что он не сможет найти приложения с чрезвычайно изменчивыми открытыми портами (некоторые IM-клиенты) и, естественно, приложения с опосредованным соединением (такие, как OOo).
		+
		+	Наша настольная политика защищает систему от сетевых атак, но ничего не делает для защиты от консольного пользователя, поскольку в нашем представлении пользователь – человек опытный, который выложил немалые деньги за свой ПК и полностью его контролирует. Однако на рабочей станции переговорного пункта или в общественном киоске консоль становится основным источником опасности. Для устранения угрозы следует выявить все приложения, предоставляемые терминалом, и убедиться, что все они имеют профиль AppArmor. В данном случае клавиатура и мышь обязаны рассматриваться как угроза, точно такая же, какой сеть является для нашего сервера. Только создав профили для всего, до чего может добраться и использовать злоумышленник, мы можем считать свой долг выполненным.
		+
		+	Гибкость Черного списка всей системы AppArmor позволяет обезопасить только те программы, которые внушают беспокойство. Платой за удобство является необходимость определения таких программ, для чего надо представить себе источники угрозы. Многие из нас ожидают угрозу преимущественно из сети, вот почему программа unconfined столь полезна. По-программный Черный список AppArmor разрешает каждой программе делать только то, что ей полагается, и ничего другого, игнорируя атаки злоумышленников. Комбинация списков помогает вам контролировать работу вашей системы легко и эффективно. Наслаждайтесь!

	Проект AppArmor также пытается привлечь больше участников из сообщества Open Source. Если вы администратор или пользователь Linux, вы можете запускать приложения для своих целей и публиковать результаты в списке рассылки apparmor-general ([http://forge.novell.com/mailman/listinfo/apparmor-general http://forge.novell.com/mailman/listinfo/apparmor-general]). Если вы разработчик приложений, подумайте над разработкой и распространением профилей AppArmor с вашим приложением. Намного легче обслуживать профили AppArmor, если они являются частью процесса разработки приложения. Или вы можете помочь в разработке новых возможностей AppArmor. Узнайте больше, посетив [http://en.opensuse.org/Apparmor http://en.opensuse.org/Apparmor]		Проект AppArmor также пытается привлечь больше участников из сообщества Open Source. Если вы администратор или пользователь Linux, вы можете запускать приложения для своих целей и публиковать результаты в списке рассылки apparmor-general ([http://forge.novell.com/mailman/listinfo/apparmor-general http://forge.novell.com/mailman/listinfo/apparmor-general]). Если вы разработчик приложений, подумайте над разработкой и распространением профилей AppArmor с вашим приложением. Намного легче обслуживать профили AppArmor, если они являются частью процесса разработки приложения. Или вы можете помочь в разработке новых возможностей AppArmor. Узнайте больше, посетив [http://en.opensuse.org/Apparmor http://en.opensuse.org/Apparmor]

Heeppy в 10:07, 17 апреля 2008

2008-04-17T10:07:45Z

← Предыдущая		Версия 10:07, 17 апреля 2008
Строка 15:		Строка 15:
	sudo dpkg -i apparmor-* libapparmor1_2.0-0ubuntu2_i386.deb linux-image-2.6.15-21-386_2.6.15-21.32mr1_i386.deb		sudo dpkg -i apparmor-* libapparmor1_2.0-0ubuntu2_i386.deb linux-image-2.6.15-21-386_2.6.15-21.32mr1_i386.deb

-	Заметьте, что эти пакеты включают новое ядро, поскольку для поддержки AppArmor необходима небольшая заплатка для ядра. Ubuntu основан на Debian, так что пакеты прекрасно подойдут для Debian, MEPIS и прочих систем на базе Debian. Если вы хотите использовать AppArmor в другой системе Linux, потребуется его портировать – см. врезку [[LXF83:AppArmor#~~Двигаемся дальше~~\|«Двигаемся дальше»]].	+	Заметьте, что эти пакеты включают новое ядро, поскольку для поддержки AppArmor необходима небольшая заплатка для ядра. Ubuntu основан на Debian, так что пакеты прекрасно подойдут для Debian, MEPIS и прочих систем на базе Debian. Если вы хотите использовать AppArmor в другой системе Linux, потребуется его портировать – см. врезку [[LXF83:AppArmor#Врезка2\|«Двигаемся дальше»]].
-		+
-	~~<!-- TODO: Ссылка -> двигаемся дальше !-->~~	+

	=== Обезопасим NTPD ===		=== Обезопасим NTPD ===
Строка 53:		Строка 51:
	Что же произойдёт, при наличии данного профиля, если злоумышленник припас программу-эксплойт, направленную против ntdp? Будьте спокойны: ничего. У него нет прав на выполнение, а значит, простой shell-код [«полезная нагрузка» эксплойта, выполняющая задуманные злоумышленником действия, – прим. ред.] вида exec(sh) не пройдет. Если ntpd зачем-либо потребуется командная оболочка (shell), злоумышленник сможет запустить ее, но только из-под профиля, и сможет читать и записывать лишь файлы, принадлежащие ntpd на основании профиля. Короче говоря, злоумышленник сможет разве что изменить ваше системное время. AppArmor разрешил ntpd выполнять только конкретные операции – в литературе по безопасности это называется запуском приложения с наименьшими привилегиями.		Что же произойдёт, при наличии данного профиля, если злоумышленник припас программу-эксплойт, направленную против ntdp? Будьте спокойны: ничего. У него нет прав на выполнение, а значит, простой shell-код [«полезная нагрузка» эксплойта, выполняющая задуманные злоумышленником действия, – прим. ред.] вида exec(sh) не пройдет. Если ntpd зачем-либо потребуется командная оболочка (shell), злоумышленник сможет запустить ее, но только из-под профиля, и сможет читать и записывать лишь файлы, принадлежащие ntpd на основании профиля. Короче говоря, злоумышленник сможет разве что изменить ваше системное время. AppArmor разрешил ntpd выполнять только конкретные операции – в литературе по безопасности это называется запуском приложения с наименьшими привилегиями.

-	== Как устроен AppArmor ==	+	{{Врезка
		+	\|Заголовок=Как устроен AppArmor
		+	\|Содержание=
		+	[[Изображение:Img_83_45_1.png\|center]]
		+
	*'''Ядро Linux 2.6''' Имеет новый интерфейс модулей безопасности Linux (Linux Security Modules), допускающий подключаемые модули безопасности. Процессы пользователя обращаются к ядру, которое при помощи всех загруженных LSM-модулей прове ряет корректность доступа.		*'''Ядро Linux 2.6''' Имеет новый интерфейс модулей безопасности Linux (Linux Security Modules), допускающий подключаемые модули безопасности. Процессы пользователя обращаются к ядру, которое при помощи всех загруженных LSM-модулей прове ряет корректность доступа.

Строка 65:		Строка 67:

	*'''Yast-интерфейс''' В системах без Yast, AppArmor может управляться посредством его родного интерфейса командной строки.		*'''Yast-интерфейс''' В системах без Yast, AppArmor может управляться посредством его родного интерфейса командной строки.
		+	}}

	== Как обезопасить Apache и другие приложения ==		== Как обезопасить Apache и другие приложения ==
Строка 162:		Строка 165:

	Гибкость Черного списка всей системы AppArmor позволяет обезопасить только те программы, которые внушают беспокойство. Платой за удобство является необходимость определения таких программ, для чего надо представить себе источники угрозы. Многие из нас ожидают угрозу преимущественно из сети, вот почему программа unconfined столь полезна. По-программный Черный список AppArmor разрешает каждой программе делать только то, что ей полагается, и ничего другого, игнорируя атаки злоумышленников. Комбинация списков помогает вам контролировать работу вашей системы легко и эффективно. Наслаждайтесь!		Гибкость Черного списка всей системы AppArmor позволяет обезопасить только те программы, которые внушают беспокойство. Платой за удобство является необходимость определения таких программ, для чего надо представить себе источники угрозы. Многие из нас ожидают угрозу преимущественно из сети, вот почему программа unconfined столь полезна. По-программный Черный список AppArmor разрешает каждой программе делать только то, что ей полагается, и ничего другого, игнорируя атаки злоумышленников. Комбинация списков помогает вам контролировать работу вашей системы легко и эффективно. Наслаждайтесь!
-		+	<div id="Врезка2"></div>
-	== Двигаемся дальше ==	+	{{Врезка
		+	\|Заголовок=Двигаемся дальше
		+	\|Содержание=
	Если вы не являетесь пользователем SUSE или Debian, но хотите добавить брони AppArmor в вашу систему Linux, то программу можно портировать. Исходный код ([http://forge.novell.com/modules/xfmod/project/?apparmor http://forge.novell.com/modules/xfmod/project/?apparmor]) не зависит от архитектуры и поддерживается на всех аппаратных платформах SUSE Linux (x86, x86-64, Itanium, PowerPC, и Z-series) – один из разработчиков AppArmor в свое свободное время портировал его на свой Sharp Zaurus PDA (ARM). Вот шаги для успешного портирования:		Если вы не являетесь пользователем SUSE или Debian, но хотите добавить брони AppArmor в вашу систему Linux, то программу можно портировать. Исходный код ([http://forge.novell.com/modules/xfmod/project/?apparmor http://forge.novell.com/modules/xfmod/project/?apparmor]) не зависит от архитектуры и поддерживается на всех аппаратных платформах SUSE Linux (x86, x86-64, Itanium, PowerPC, и Z-series) – один из разработчиков AppArmor в свое свободное время портировал его на свой Sharp Zaurus PDA (ARM). Вот шаги для успешного портирования:
	#Установите на ядро заплатку, экспортирующую семафор пространства имен для ядра 2.6.15 или выше.		#Установите на ядро заплатку, экспортирующую семафор пространства имен для ядра 2.6.15 или выше.
Строка 170:		Строка 175:
	#Создайте пакет для вашего дистрибутива аналогично RPM для SUSE и Debs для Ubuntu.		#Создайте пакет для вашего дистрибутива аналогично RPM для SUSE и Debs для Ubuntu.
	#Создайте или измените профили в соответствии с вашим дистрибутивом. В частности, существует небольшой набор важных профилей, которые должны быть подправлены, особенно для набора библиотек '''ld.so'''. Удачи!		#Создайте или измените профили в соответствии с вашим дистрибутивом. В частности, существует небольшой набор важных профилей, которые должны быть подправлены, особенно для набора библиотек '''ld.so'''. Удачи!
		+	\|Ширина=300px
		+	}}

	Проект AppArmor также пытается привлечь больше участников из сообщества Open Source. Если вы администратор или пользователь Linux, вы можете запускать приложения для своих целей и публиковать результаты в списке рассылки apparmor-general ([http://forge.novell.com/mailman/listinfo/apparmor-general http://forge.novell.com/mailman/listinfo/apparmor-general]). Если вы разработчик приложений, подумайте над разработкой и распространением профилей AppArmor с вашим приложением. Намного легче обслуживать профили AppArmor, если они являются частью процесса разработки приложения. Или вы можете помочь в разработке новых возможностей AppArmor. Узнайте больше, посетив [http://en.opensuse.org/Apparmor http://en.opensuse.org/Apparmor]		Проект AppArmor также пытается привлечь больше участников из сообщества Open Source. Если вы администратор или пользователь Linux, вы можете запускать приложения для своих целей и публиковать результаты в списке рассылки apparmor-general ([http://forge.novell.com/mailman/listinfo/apparmor-general http://forge.novell.com/mailman/listinfo/apparmor-general]). Если вы разработчик приложений, подумайте над разработкой и распространением профилей AppArmor с вашим приложением. Намного легче обслуживать профили AppArmor, если они являются частью процесса разработки приложения. Или вы можете помочь в разработке новых возможностей AppArmor. Узнайте больше, посетив [http://en.opensuse.org/Apparmor http://en.opensuse.org/Apparmor]

Heeppy в 16:13, 9 апреля 2008

2008-04-09T16:13:29Z

← Предыдущая		Версия 16:13, 9 апреля 2008
Строка 15:		Строка 15:
	sudo dpkg -i apparmor-* libapparmor1_2.0-0ubuntu2_i386.deb linux-image-2.6.15-21-386_2.6.15-21.32mr1_i386.deb		sudo dpkg -i apparmor-* libapparmor1_2.0-0ubuntu2_i386.deb linux-image-2.6.15-21-386_2.6.15-21.32mr1_i386.deb

-	Заметьте, что эти пакеты включают новое ядро, поскольку для поддержки AppArmor необходима небольшая заплатка для ядра. Ubuntu основан на Debian, так что пакеты прекрасно подойдут для Debian, MEPIS и прочих систем на базе Debian. Если вы хотите использовать AppArmor в другой системе Linux, потребуется его портировать – см. врезку «Двигаемся дальше» ~~на странице 47~~.	+	Заметьте, что эти пакеты включают новое ядро, поскольку для поддержки AppArmor необходима небольшая заплатка для ядра. Ubuntu основан на Debian, так что пакеты прекрасно подойдут для Debian, MEPIS и прочих систем на базе Debian. Если вы хотите использовать AppArmor в другой системе Linux, потребуется его портировать – см. врезку [[LXF83:AppArmor#Двигаемся дальше\|«Двигаемся дальше»]].

	<!-- TODO: Ссылка -> двигаемся дальше !-->		<!-- TODO: Ссылка -> двигаемся дальше !-->

Heeppy в 16:11, 9 апреля 2008

2008-04-09T16:11:42Z

(Различия между версиями)

Bellycat77: /* ДВИГАЕМСЯ ДАЛЬШЕ */

2008-03-10T05:23:18Z

ДВИГАЕМСЯ ДАЛЬШЕ

← Предыдущая		Версия 05:23, 10 марта 2008
Строка 148:		Строка 148:
	Гибкость Черного списка всей системы AppArmor позволяет обезопасить только те программы, которые внушают беспокойство. Платой за удобство является необходимость определения таких программ, для чего надо представить себе источники угрозы. Многие из нас ожидают угрозу преимущественно из сети, вот почему программа unconfined столь полезна. По-программный Черный список AppArmor разрешает каждой программе делать только то, что ей полагается, и ничего другого, игнорируя атаки злоумышленников. Комбинация списков помогает вам контролировать работу вашей системы легко и эффективно. Наслаждайтесь!		Гибкость Черного списка всей системы AppArmor позволяет обезопасить только те программы, которые внушают беспокойство. Платой за удобство является необходимость определения таких программ, для чего надо представить себе источники угрозы. Многие из нас ожидают угрозу преимущественно из сети, вот почему программа unconfined столь полезна. По-программный Черный список AppArmor разрешает каждой программе делать только то, что ей полагается, и ничего другого, игнорируя атаки злоумышленников. Комбинация списков помогает вам контролировать работу вашей системы легко и эффективно. Наслаждайтесь!

-	== ~~ДВИГАЕМСЯ ДАЛЬШЕ~~ ==	+	== Двигаемся дальше ==
	Если вы не являетесь пользователем SUSE или Debian, но хотите добавить брони AppArmor в вашу систему Linux, то программу можно портировать. Исходный код (http://forge.novell.com/modules/xfmod/project/?apparmor) не зависит от архитектуры и поддерживается на всех аппаратных платформах SUSE Linux (x86, x86-64, Itanium, PowerPC, и Z-series) – один из разработчиков AppArmor в свое свободное время портировал его на свой Sharp Zaurus PDA (ARM). Вот шаги для успешного портирования:		Если вы не являетесь пользователем SUSE или Debian, но хотите добавить брони AppArmor в вашу систему Linux, то программу можно портировать. Исходный код (http://forge.novell.com/modules/xfmod/project/?apparmor) не зависит от архитектуры и поддерживается на всех аппаратных платформах SUSE Linux (x86, x86-64, Itanium, PowerPC, и Z-series) – один из разработчиков AppArmor в свое свободное время портировал его на свой Sharp Zaurus PDA (ARM). Вот шаги для успешного портирования:
	#Установите на ядро заплатку, экспортирующую семафор пространства имен для ядра 2.6.15 или выше.		#Установите на ядро заплатку, экспортирующую семафор пространства имен для ядра 2.6.15 или выше.