Profile anwenden

Läuft ein Programm bereits, lässt sich das zugehörige AppArmor-Profil nicht nachträglich aktivieren. Das liegt vor allem daran, dass sich AppArmor beim Linux-Syscall exec einklinkt, also beim Start einer ausführbaren Datei. Arbeiten Sie unter Ubuntu, sind die AppArmor-Profile standardmäßig aktiv und schützen die Anwendung damit automatisch.

Was ein Programm ohne aktiven Schutz so alles tun würde, können Sie selbst überprüfen: Öffnen Sie unter Debian oder Ubuntu ein neues Terminalfenster und wechseln Sie in den privilegierten Modus. Tippen Sie dann die folgenden beiden Zeilen:

# apt-get install apparmor-utils
# aa-audit usr.bin.evince

Rufen Sie anschließend den Dokumentenbetrachter Evince über den Ubuntu-Starter auf und öffnen Sie eine beliebige PDF-Datei aus Ihrem Heimatverzeichnis. Ein Blick in /var/log/kern.log zeigt für die Aktion die entsprechenden Zugriffe (Abbildung 1). AppArmor gestattet Evince hier nur deshalb den Zugriff auf die Datei, weil sich diese im Heimatverzeichnis des aktuell angemeldeten Benutzers befindet.

Abbildung 1: In der Protokolldatei kern.log erscheinen die Zugriffe von Evince auf die PDF-Datei (hell hervorgehobene Zeile).

Das eigene Profil

Für viele Programme stehen keine AppArmor-Profile zur Verfügung. Sie haben aber die notwendigen Werkzeuge zur Hand, um eigene zu erstellen. Im ersten Schritt bringen Sie AppArmor für die fragliche Anwendung in den Lernmodus, für VLC beispielsweise mit:

# aa-genprof /usr/bin/vlc

Jetzt starten Sie die eigentliche Anwendung, in unserem Fall VLC. Anschließend nutzen Sie diese so, wie Sie es üblicherweise im Alltag tun würden. Haben Sie alle häufig genutzten Funktionen ausgeführt, dann schließen Sie die Anwendung und finalisieren das Profil. Drücken Sie dafür im Terminal [S], um AppArmor die Log-Dateien nach Aktionen des VLC-Players durchforsten zu lassen.

Anschließend überlässt Ihnen AppArmor für jeden Zugriffsversuch von VLC die Wahl, ob dieser erlaubt sein soll oder nicht (Abbildung 2). Für Testzwecke halten Sie [D] (für "deny") gedrückt und verbieten damit erst einmal alle Aktionen. Wurden alle Abfragen bestätigt, dann speichern sie das Profil mit [S] und verlassen danach mit [F] den Lernmodus.

Abbildung 2: AppArmors Profiler registriert die Programmzugriffe und gestaltet daraus ein Profil.

AppArmor meldet beim Beenden des Lernmodus, dass sich das neue Profil für den VLC-Player nun im Enforce-Modus befindet. Öffnen Sie ein neues Terminal und starten Sie VLC mit dem Kommando vlc als unprivilegierter Benutzer. In unserem Fall taucht der Mediaplayer erst gar nicht auf, da AppArmor schon beim Start Zugriffe auf wichtige Dateien blockiert (Abbildung 3).

Abbildung 3: Da dem VLC-Player die Zugriffsberechtigungen auf wichtige Dateien fehlen, verweigert er den Start.

Sie finden das entsprechende Profil unter /etc/apparmor.d/usr.bin.vlc und können es von nun an weiter anpassen. Um den VLC-Player wieder zu starten, löschen Sie einfach die zugehörige Profildatei – oder verfrachten VLC mittels aa-complain usr.bin.vlc in den Beschwerdemodus.

Soll langfristig ein valides AppArmor-Profil den VLC-Player beschützen, so beginnen Sie die Profilerstellung von Neuem oder passen das bestehende Profil an, indem Sie es von Hand bearbeiten.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 09/2016: Ciao, Windows!

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

NOKIA N900 einziges Linux-Smartphone? Kein Support mehr
Wimpy *, 28.08.2016 11:09, 1 Antworten
Ich habe seit vielen Jahren ein Nokia N900 mit Maemo-Linux. Es funktioniert einwandfrei, aber ich...
Scannen nicht möglich
Werner Hahn, 19.08.2016 22:33, 3 Antworten
Laptop DELL Latitude E6510 mit Ubuntu 16,04, Canon Pixma MG5450. Das Drucken funktioniert, Scann...
Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...