Profile anwenden

Läuft ein Programm bereits, lässt sich das zugehörige AppArmor-Profil nicht nachträglich aktivieren. Das liegt vor allem daran, dass sich AppArmor beim Linux-Syscall exec einklinkt, also beim Start einer ausführbaren Datei. Arbeiten Sie unter Ubuntu, sind die AppArmor-Profile standardmäßig aktiv und schützen die Anwendung damit automatisch.

Was ein Programm ohne aktiven Schutz so alles tun würde, können Sie selbst überprüfen: Öffnen Sie unter Debian oder Ubuntu ein neues Terminalfenster und wechseln Sie in den privilegierten Modus. Tippen Sie dann die folgenden beiden Zeilen:

# apt-get install apparmor-utils
# aa-audit usr.bin.evince

Rufen Sie anschließend den Dokumentenbetrachter Evince über den Ubuntu-Starter auf und öffnen Sie eine beliebige PDF-Datei aus Ihrem Heimatverzeichnis. Ein Blick in /var/log/kern.log zeigt für die Aktion die entsprechenden Zugriffe (Abbildung 1). AppArmor gestattet Evince hier nur deshalb den Zugriff auf die Datei, weil sich diese im Heimatverzeichnis des aktuell angemeldeten Benutzers befindet.

Abbildung 1: In der Protokolldatei kern.log erscheinen die Zugriffe von Evince auf die PDF-Datei (hell hervorgehobene Zeile).

Das eigene Profil

Für viele Programme stehen keine AppArmor-Profile zur Verfügung. Sie haben aber die notwendigen Werkzeuge zur Hand, um eigene zu erstellen. Im ersten Schritt bringen Sie AppArmor für die fragliche Anwendung in den Lernmodus, für VLC beispielsweise mit:

# aa-genprof /usr/bin/vlc

Jetzt starten Sie die eigentliche Anwendung, in unserem Fall VLC. Anschließend nutzen Sie diese so, wie Sie es üblicherweise im Alltag tun würden. Haben Sie alle häufig genutzten Funktionen ausgeführt, dann schließen Sie die Anwendung und finalisieren das Profil. Drücken Sie dafür im Terminal [S], um AppArmor die Log-Dateien nach Aktionen des VLC-Players durchforsten zu lassen.

Anschließend überlässt Ihnen AppArmor für jeden Zugriffsversuch von VLC die Wahl, ob dieser erlaubt sein soll oder nicht (Abbildung 2). Für Testzwecke halten Sie [D] (für "deny") gedrückt und verbieten damit erst einmal alle Aktionen. Wurden alle Abfragen bestätigt, dann speichern sie das Profil mit [S] und verlassen danach mit [F] den Lernmodus.

Abbildung 2: AppArmors Profiler registriert die Programmzugriffe und gestaltet daraus ein Profil.

AppArmor meldet beim Beenden des Lernmodus, dass sich das neue Profil für den VLC-Player nun im Enforce-Modus befindet. Öffnen Sie ein neues Terminal und starten Sie VLC mit dem Kommando vlc als unprivilegierter Benutzer. In unserem Fall taucht der Mediaplayer erst gar nicht auf, da AppArmor schon beim Start Zugriffe auf wichtige Dateien blockiert (Abbildung 3).

Abbildung 3: Da dem VLC-Player die Zugriffsberechtigungen auf wichtige Dateien fehlen, verweigert er den Start.

Sie finden das entsprechende Profil unter /etc/apparmor.d/usr.bin.vlc und können es von nun an weiter anpassen. Um den VLC-Player wieder zu starten, löschen Sie einfach die zugehörige Profildatei – oder verfrachten VLC mittels aa-complain usr.bin.vlc in den Beschwerdemodus.

Soll langfristig ein valides AppArmor-Profil den VLC-Player beschützen, so beginnen Sie die Profilerstellung von Neuem oder passen das bestehende Profil an, indem Sie es von Hand bearbeiten.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

title_2015_02

Digitale Ausgabe: Preis € 5,49
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 2 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Rootpasswort
Jutta Naumann, 29.01.2015 09:14, 1 Antworten
Ich habe OpenSuse 13.2 installiert und leider nur das Systempasswort eingerichtet. Um Änderungen,...
Neue SuSE-Literatur
Roland Welcker, 14.01.2015 14:10, 1 Antworten
Verehrte Linux-Freunde, seit Hans-Georg Essers Buch "LINUX" und Stefanie Teufels "Jetzt lerne ich...
DVD abspielen unter openSUSE 13.1
Michael Pfaffe, 12.01.2015 11:48, 6 Antworten
Hallo Linuxer, Bisher habe ich meine DVD´s mit linDVD unter openSUSE abgespielt. Mit der Versi...
Kontrollleiste SuSE 12.3 gestalten
Roland Welcker, 31.12.2014 14:06, 1 Antworten
Wie bekomme ich das Icon eines beliebigen Programms (aktuell DUDEN) in die Kontrollleiste und kan...
flash-player
roland reiner, 27.12.2014 15:24, 7 Antworten
Mein Flashplayer funktioniert nicht mehr-Plug in wird nicht mehr unterstütz,auch über google chro...