Goldene Käfige
System abschotten mit AppArmor
Feintuning
Falls die Anwendung nicht wie gewünscht funktioniert, starten Sie den Profilassistenten erneut für die Anwendung und wiederholen den Vorgang. Dabei liest der Assistent das vorhandene Profil und aktualisiert es lediglich. Manuell per Text-Editor eingefügte Einträge bleiben erhalten. Nach jeder händischen Änderung müssen Sie AppArmor neu starten, damit es das Profil lädt. Alternativ verwenden Sie Yast 2 und wählen dort entweder Profile aktualisieren (Abbildung 9) oder das Icon mit dem Stift, um ein Profil zu editieren (Abbildung 10).
Abbildung 9: Falls eine Applikation nicht so funktioniert, wie Sie es wünschen können Sie mit Profile aktualisieren aktuelle AppArmor-Ereignisse, wie hier zum Drucken einem Profil hinzufügen.
Abbildung 10: Mit Yast 2 können Sie auch ein AppArmor-Profil editieren.
Listing 3
# unconfined 7988 /usr/lib/postfix/master confined by '/usr/lib/postfix/master (enforce)' 7988 /usr/lib/postfix/master confined by '/usr/lib/postfix/master (enforce)' 8025 /usr/sbin/cupsd not confined 8025 /usr/sbin/cupsd not confined 8081 /sbin/portmap not confined 8081 /sbin/portmap not confined 8109 /usr/sbin/sshd confined by '/usr/sbin/sshd (enforce)'
Weil Netzwerkdienste einer besonders hohen Gefahr ausgesetzt sind, stellt Novell das Programm unconfined zur Verfügung. Dieses ermittelt die laufenden Netzwerkdienste und zeigt deren AppArmor-Status an. Die Ausgabe in Listing 3 zeigt, dass dieser Rechner CUPS und den RPC-Portmapper nicht überwacht. Für diese Dienste hat auch Novell noch keine Profile erzeugt.
In den nächsten Wochen und Monaten wird Novell sicherlich weitere Profile zur Verfügung stellen. Wenn Sie die Entwicklung verfolgen möchten, empfehlen sich ein Abonnement der Mailingliste [11] und ein gelegentlicher Besuch auf der AppArmor-Homepage [1].
Gut geschützt
AppArmor überwacht kritische Applikationen. Ein Programm darf dann nur noch auf bestimmte Dateien zugreifen und ausgewählte Befehle starten. Enthält die Anwendung eine Sicherheitslücke, über die ein Angreifer zum Beispiel eine Shell oder andere Befehle mit den Rechten des Opfers starten möchte, so verhindert AppArmor dies wirksam. Die Applikation läuft in einer Art Sandkasten oder Gefängnis, aus der sie nicht ausbrechen kann.
Die Sicherheitslücke verschwindet durch AppArmor zwar nicht, jedoch kann der Angreifer diese kaum mehr ausnutzen. So sind Sie auch vor den Auswirkungen neuer, noch unbekannter Sicherheitslücken geschützt. AppArmor empfiehlt sich daher besonders für Programme, die über das Netzwerk erreichbar sind oder mit denen Sie Daten zweifelhafter Herkunft verarbeiten, etwa E-Mails, Bilder, Filme oder Office-Dokumente.
Infos
[1] AppArmor: http://www.opensuse.org/AppArmor
[2] Systrace: Marius Aamodt Eriksen und Niels Provos, "Enges Korsett: Systrace setzt Regeln für erlaubte Systemaufrufe durch", Linux-Magazin 01/2003, S. 32
[3] LSM: http://lsm.immunix.org
[4] SELinux: Konstantin Agouros, Carsten Grohmann und Achim Leitner, "Security Enhanced Linux im Einsatz", Linux-Magazin 01/2003, S. 38 und 02/2003, S. 62
[5] RSBAC: Amon Ott, "Die Architektur des Linux-Sicherheitssystems Rule Set Based Access Control", Linux-Magazin 01/2003, S. 48 und 04/2003, S. 61
[6] LIDS: David Spreen, "Sicherheit mit dem Linux Intrusion Detection System", Linux-Magazin 06/2001, S. 68
[7] AppArmor-Pakete: http://forge.novell.com/modules/xfcontent/downloads.php/apparmor/Stable/
[8] Kernel-Patches für AppArmor: http://forge.novell.com/modules/xfcontent/downloads.php/apparmor/Development/
[9] Kernel-Repository: http://www.kernel.org
[10] Kpdf-Sicherheitslücke: http://www.heise.de/newsticker/meldung/67056
[11] AppArmor-Mailingliste: http://forge.novell.com/mailman/listinfo/apparmor-general
Der Autor
Ralf Spenneberg arbeitet als freier Unix/Linux-Trainer, Berater und Autor. Mit seinem Unternehmen OpenSource Training Ralf Spenneberg führt er Schulungen und Beratungen durch. Er veröffentlichte bereits mehrere Bücher zu den Themen Intrusion Detection und Virtuelle Private Netzwerke. In wenigen Wochen wird sein neues Buch "Linux-Firewalls mit IPtables & Co" erscheinen.
Einem Freund empfehlen
