U13.04 + AppArmor

Fontos megjegyzés: egy AppArmor-os bug miatt töröljük az /etc/apparmor.d mappából az összes lxc nevű fájlt és mappát, majd "sudo service apparmor restart".

AppArmor egy MAC megoldás, mellyel a saját felhasználónk nevében futtatott programjaink jogosultságait szigorúbb keretek közé szoríthatjuk. Ugye mivel dokumentumaink hozzáféréséhez is ugyanolyan jogok kellenek, mint amilyennel a hálózaton kommunikáló szoftvereink futnak, ezért a program kompromittálódása során alapból teljes hozzáférése van a támadónak a fájljainkhoz - és még root jogot sem kell szereznie. Illetve a többi fájlhoz se férjen hozzá, amihez nincs köze, mert ez mind biztonsági kockázatot jelent. Egy kifinomultabb jogosultság kezelés ezt a problémát hivatott megoldani.

Az alapértelmezett desktop rendszeren futó hálózaton kommunikáló programok és szolgáltatások közül Ubuntu gyárilag szállít profilt a következőkhöz: cups, dhclient, evince, firefox, mysqld, rsyslogd, tcpdump, telepathy. Ezek közül dhclient kér IP-t DHCP-n keresztül, tehát fontos. Cups nyomtatáshoz kell. Desktop felhasználáshoz telepathy-t használhatjuk chat-eléshez Empaty-val, Evince-et dokumentum (PDF) megejelnítéshez és Firefox-ot böngészéshez. Ha nem külön offline levelező klienst futtatunk, akkor szerintem ez nagyjából le is fedi az átlag felhasználási módot.

Megj.: A Firefox profil alapból nem engedélyezett, ezt az alábbi paranccsal aktiválhatjuk:

sudo aa-enforce /etc/apparmor.d/*firefox*

Ha viszont további szoftvereket szeretnénk keményíteni AppArmor profillal, akkor bizony generálnunk kell "kézzel". Ez úgy működik, hogy aa-genprof eszközzel megmondjuk a rendszernek, hogy melyik futtatható binárisnak akarunk generálni profilt. Ekkor a rendszer gyűjteni fogja a szoftver használata során jegyzett műveleteket, amelyek később a szabályt fogják alkotni. Sok helyen csillagozott path-okkal lehet operálni a szabályok általánosításához, hogy minél rugalmasabb legyen a profil (tehát ne egy adott verziójú fájlra hivatkozzon olvasási joggal például, mert akkor a fájl nevének módosulásakor a szabály nem fog illeszkedni a valós igényre).

aa-genprof futtatása után a progit is el kell indítanunk (jobb ha még nem fut és úgy indítjuk, hogy mégtöbb usecase-t lefedjünk) és a lehető legtöbb módon használnunk kell. Nyilván az ekkor észlelt műveletekhez kapcsolódó jogokat fogja csak megkapni a program a későbbiekben, tehát ez is egy fontos lépés. A végén befejezhetjük, melykor a szabály létrejön (letárolódik egy fájlban az /etc/apparmor.d mappában) és a programot enforce (kikényszerítő) módba kapcsolja.

Ha a későbbiekben hozzáférés megtagadásba futnánk a programmal, akkor az aa-logprof paranccsal a naplófájlba bejegyzésre került megtagadásokat bírálhatjuk felül egyesével így módosítva a profilt, hogy a szabályokat hozzáillesszük az új felhasználási módhoz is.

Az egyszerű példa kedvéért a ping parancshoz az alábbi módon tudunk szabályt generálni és megkeményíteni azt kikényszerítő módba kapcsolva:

sudo -i
aa-genprof ping
Writing updated profile for /bin/ping.
Setting /bin/ping to complain mode.

Before you begin, you may wish to check if a
profile already exists for the application you
wish to confine. See the following wiki page for
more information:
http://wiki.apparmor.net/index.php/Profiles

Please start the application to be profiled in 
another window and exercise its functionality now.

Once completed, select the "Scan" button below in 
order to scan the system logs for AppArmor events.  

For each AppArmor event, you will be given the  
opportunity to choose whether the access should be  
allowed or denied.

Profiling: /bin/ping

[(S)can system log for AppArmor events] / (F)inish

# másik terminálban

ping -c 3 google.com

# előzőbe sessionben "S" bill. lenyomása után hasonló bejegyzésekre kell válaszolnunk,
# ahol az "A" bill. lenyomásával fogadhatjuk el a hozzáférési módot,
# majd végül szintán az "S" billenytűre elmenthetjük a profilt

Reading log entries from /var/log/syslog.
Updating AppArmor profiles in /etc/apparmor.d.
Complain-mode changes:

Profile:    /bin/ping
Capability: net_raw
Severity:   8

[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish
Adding capability net_raw to profile.

Profile:  /bin/ping
Path:     /etc/host.conf
Mode:     r
Severity: unknown


  1 - #include <abstractions/apache2-common> 
  2 - #include <abstractions/lightdm> 
  3 - #include <abstractions/nameservice> 
 [4 - /etc/host.conf]

[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts

Profile:        /bin/ping
Network Family: inet
Socket Type:    dgram

 [1 - #include <abstractions/nameservice>]
  2 - network inet dgram 

[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish

= Changed Local Profiles =

The following local profiles were changed.  Would you like to save them?

 [1 - /bin/ping]

(S)ave Changes / [(V)iew Changes] / Abo(r)t

A keletkezett szabály így néz ki:

cat /etc/apparmor.d/*ping*
# Last Modified: Sat Jul 20 23:17:30 2013
#include <tunables/global>

/bin/ping {
  #include <abstractions/base>
  #include <abstractions/nameservice>


  capability net_raw,

  network inet raw,


  /bin/ping mr,

}

Ekkor már ping kikényszerítő módban van és a profilja aktív. Kb. ennyi a tömör lényege a szabály létrehozásnak.

Szemléltetéshez még például a tcpdump profilja pedig így néz ki.

További néhány tippem:
- a "G" billentyűvel lehet az elérési út végére csillagot tenni és ezzel kimaszkolni a szabályban a path-t, hogy a teljes mappára illeszkedjen, ezzel érdemes élni de azért óvatosan, mert a maszkolás során a biztonság mértékét ezzel egyre csökkentjük
- másodszori megnyomására a "G" bill. 2 db csillagot tesz, mely rekurzív hozzáférést fog jelenteni az adott mappára, ez is hasznos sok esetben, ahol előre megjósolhatatlan, hogy milyen mélységig kellhet egy fájl a programnak és azokból is melyik
- ha "r" (csak olvasás) jogról van szó egy mappa vagy fájl esetében, akkor szerintem nyugodtan adjunk bizonyos mappáknál rekurzív jogot, pl. a /usr/share meg hasonló mappák esetében
- ha a program furcsán és hibásan működik, akkor az éles MAC rendszer esetében valószínűleg azt jelenti, hogy nem teljes a profilja és a szabályainál még több jogot meg kell adni, ehhez futtassuk root-ként az aa-logprof progit, mellyel egyszerűen elvégezhetjük a kiegészítést
- a profil létrehozása után szerintem érdemes egy text editorral azért ránézni szemmel is az /etc/apparmor.d/*progim* fájlban, mert sokszor triviális egyszerűsítések is lehetnek, melyet nyugodtan végezzünk el beleszerkesztéssel
- aa-logprof használata során sok "deny" szabályunk keletkezhet, ezekt javaslom mindet törölni, mivel ami nem lesz külön megengedve, az alapból tagadva lesz - tehát ha nem az a cél hogy mindent engedjünk és csak bizonyos dolgokat tiltsunk hanem a fordítottja, akkor nincs szükség tagadó szabályokra
- érdemes kiemelni, hogy ha egy elérési út /-re végződik, akkor ott csak a mappa olvasásához van hozzáférés, a tartalmához nem, ezért bizonyos alkalmazásoknál ahol szükség van fájl tallózásra, az alábbi 2 szabállyal engedélyt adhatunk a tallózásra a fájlok tartalmához való hozzáférés nélkül:

/ r,
/**/ r,

Végül az élő állapot lekérdezhető aa-status paranccsal.

Kb. ennyi jutott eszembe. Jól megcsinálták szerintem AppArmort és látszik hogy már eléggé használható. Pár évvel ezelőtt még nem ez volt tapasztalható.

Ui.: Szerintem azért ennél egy biztonságilag nyilván lazább, viszont sokkal egyszerűbb (1 klikk) megoldást hozott volna tomld progim Tomoyo-val, és a sima felhasználóknak is használható eszköz lett volna. Na mindegy.. ;)