3.3. Erstellen von Novell AppArmor-Profilen in der YaST-GUI

Öffnen Sie die YaST GUI, indem Sie YaST+Novell AppArmor im Hauptmenü starten. Novell AppArmor wird wie folgt in der YaST-Oberfläche geöffnet:

[Note]Anmerkung

Sie können die YaST-Oberfläche auch starten, indem Sie ein Terminalfenster öffnen, sich als root anmelden und yast2 eingeben.

YaST-Hauptsteuerungen für Novell AppArmor

Im rechten Rahmen sehen Sie mehrere Symbole für Novell AppArmor-Optionen. Wenn Novell AppArmor nicht im linken Rahmen des YaST-Fensters angezeigt wird oder die Novell AppArmor-Symbole nicht angezeigt werden, sollten Sie Novell AppArmor neu installieren. Die folgenden Optionen stehen in Novell AppArmor zur Verfügung.

Klicken Sie auf eines der folgenden Novell AppArmor-Symbole und fahren Sie im unten angegebenen Abschnitt fort:

Assistent zum Hinzufügen von Profilen

Detaillierte Schritte finden Sie unter Abschnitt 3.3.1, „Hinzufügen eines Profils mit dem Assistenten“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

Profil manuell hinzufügen

Hinzufügen eines Novell AppArmor-Profils für eine Anwendung auf Ihrem System ohne Unterstützung des Assistenten. Detaillierte Schritte finden Sie unter Abschnitt 3.3.2, „Manuelles Hinzufügen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

Profil bearbeiten

Bearbeiten eines bestehenden Novell AppArmor-Profils auf Ihrem System. Detaillierte Schritte finden Sie unter Abschnitt 3.3.3, „Bearbeiten eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

Profil löschen

Löschen eines bestehenden Novell AppArmor-Profils von Ihrem System. Detaillierte Schritte finden Sie unter Abschnitt 3.3.4, „Löschen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

Assistent zum Aktualisieren von Profilen

Detaillierte Schritte finden Sie unter Abschnitt 3.3.5, „Aktualisieren von Profilen aus den Syslog-Einträgen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

AppArmor-Berichte

Detaillierte Schritte finden Sie unter Abschnitt 4.3, „Berichte“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

AppArmor-Kontrollleiste

Detaillierte Schritte finden Sie unter Abschnitt 3.3.6, „Verwalten des Status von Novell AppArmor und Sicherheitsereignissen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

3.3.1. Hinzufügen eines Profils mit dem Assistenten

Der Assistent zum Hinzufügen eines Profils dient dem Einrichten von Novell AppArmor-Profilen mithilfe der Novell AppArmor-Profilwerkzeuge genprof (Profil erstellen) und logprof (Profile aus Lernmodus-Protokolldatei aktualisieren). Weitere Informationen zu diesen Werkzeugen finden Sie unter Abschnitt 3.5.3, „Zusammenfassung der Profilwerkzeuge“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

  1. Stoppen Sie die Anwendung, bevor Sie Profile erstellen, um sicherzustellen, dass der Anwendungsstart im Profil enthalten ist. Stellen Sie dazu sicher, dass die Anwendung oder der Daemon erst dann ausgeführt werden, wenn ein Profil für sie erstellt ist.

    Beispiel: Geben Sie /etc/init.d/PROGRAM stop in ein Terminalfenster ein, während Sie als root angemeldet sind. Ersetzen Sie dabei PROGRAM durch den Namen des Programms, für das Sie ein Profil erstellen möchten.

  2. Falls noch nicht geschehen, klicken Sie in der YaST-Oberfläche auf Novell AppArmor+Add Profile Wizard (Assistent zum Hinzufügen eines Profils).

    Wählen der Anwendung, die ein Profil erhalten soll
  3. Geben Sie den Namen der Anwendung ein oder navigieren Sie zum Speicherort des Programms.

  4. Klicken Sie auf Erstellen. Damit wird das Novell AppArmor-Werkzeug autodep ausgeführt, das eine statische Analyse des Programms ausführt, für das ein Profil erstellt werden soll, und ein vorläufiges Profil in das Novell AppArmor-Modul lädt. Weitere Informationen zu autodep finden Sie unter Abschnitt 3.5.3.1, „autodep“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

    Das Fenster des AppArmor-Profilassistenten wird geöffnet.

    Der Novell AppArmor-Profilassistent genprof

    Im Hintergrund setzt Novell AppArmor auch das Profil in den Lernmodus. Weitere Informationen zum Lernmodus finden Sie unter Abschnitt 3.5.3.2, „Meldungs- oder Lernmodus“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

  5. Führen Sie die Anwendung aus, für die ein Profil erstellt wird.

  6. Führen Sie möglichst viele der Anwendungsfunktionen aus, damit der Lernmodus die Dateien und Verzeichnisse protokollieren kann, auf die das Programm für eine korrekte Funktion zugreifen muss.

  7. Klicken Sie auf Scan System Log for Entries to Add to Profile (Systemprotokoll auf Einträge für Profil durchsuchen), um die Lernmodus-Protokolldateien zu analysieren. Damit wird eine Serie von Fragen erzeugt, die Sie beantworten müssen, um den Assistenten beim Generieren des Sicherheitsprofils anzuleiten.

    Die Fragen lassen sich in zwei Kategorien teilen:

    Jeder dieser Fälle führt zu einer Serie von Fragen, die Sie beantworten müssen, um dem Profil die Ressource oder das Programm hinzuzufügen. Die folgenden beiden Abbildungen zeigen ein Beispiel für den jeweiligen Fall. Nachfolgende Schritte beschreiben Ihre Möglichkeiten bei der Beantwortung dieser Fragen.

    Das Fenster des AppArmor-Profilassistenten wird geöffnet.

    Abbildung 3.1. Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen

    Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen

    Abbildung 3.2. Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag

    Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag
  8. Der Assistent zum Hinzufügen eines Profils beginnt Verzeichnispfad-Einträge vorzuschlagen, auf welche die Anwendung, für die Sie ein Profil erstellen, zugegriffen hat (wie in Abbildung 3.1, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) gezeigt), oder fordert Sie auf, Ausführungsberechtigungen für Einträge zu definieren (wie in Abbildung 3.2, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) gezeigt).

    1. Für (↑ Novell AppArmor 2.0-Administrationshandbuch ): Wählen Sie aus den folgenden Optionen die geeignete für die Zugriffsanforderung, etwa eine vorgeschlagene include-Anweisung, eine bestimmte Pfadversion mit Platzhaltern oder den tatsächlichen Pfadnamen. Beachten Sie, dass nicht immer alle Optionen verfügbar sind.

      #include

      Der Abschnitt eines Novell AppArmor-Profils, der auf eine include-Datei verweist. Include-Dateien beziehen Zugriffsberechtigungen für Programme. Durch Verwenden einer include-Anweisung können Sie dem Programm Zugriff auf Verzeichnispfade oder Dateien geben, die auch von anderen Programmen benötigt werden. Mithilfe von include-Anweisungen lässt sich die Größe eines Profils verringern. Es empfiehlt sich, include-Anweisungen zu wählen, wenn diese vorgeschlagen werden.

      Version mit Platzhalter

      Zugriff durch Klicken auf Glob, wie im nächsten Schritt beschrieben. Weitere Informationen zur Auflösung der Syntax finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

      Tatsächlicher Pfadname

      Buchstabengetreu angegebener Pfad, auf den das Programm zugreifen muss, damit es reibungslos ablaufen kann.

    2. Für (↑ Novell AppArmor 2.0-Administrationshandbuch ): Wählen Sie aus den folgenden Optionen diejenige, die Ihren Zugriffsanforderungen entspricht.

      Inherit (Erben)

      Verbleiben im selben Sicherheitsprofil (übergeordnetes Profil).

      Profil

      Verlangt, dass ein separates Profil für das ausgeführte Programm existiert.

      Unconfined (Uneingeschränkt)

      Führt das Programm ohne Sicherheitsprofil aus.

      [Warning]Warnung

      Sofern nicht unbedingt nötig, führen Sie das Programm nicht uneingeschränkt aus. Wenn Sie die Option Unconfined (Uneingeschränkt) wählen, wird das neue Programm ohne jeglichen Schutz von AppArmor ausgeführt.

  9. Nach der Wahl eines Verzeichnispfads müssen Sie diesen als einen Eintrag im Novell AppArmor-Profil festlegen, indem Sie auf Allow (Erlauben) oder Deny (Ablehnen) klicken. Wenn Sie nicht mit dem angezeigten Eintrag des Verzeichnispfads einverstanden sind, können Sie ihn durch Glob oder Edit (Bearbeiten) ändern.

    Die folgenden Optionen sind für die Verarbeitung der Lernmodus-Einträge und die Erstellung des Profils verfügbar:

    Allow (Erlauben)

    Gewährt dem Programm Zugriff auf die angegebenen Verzeichnispfad-Einträge. Der Assistent zum Hinzufügen von Profilen schlägt Dateizugriffsberechtigung vor. Weitere Informationen dazu finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

    Deny (Ablehnen)

    Klicken Sie auf Deny (Verweigern), um das Programm am Zugriff auf die angegebenen Verzeichnispfad-Einträge zu hindern.

    Glob

    Durch Klicken auf diese Option wird der Verzeichnispfad (durch Verwendung von Platzhaltern) so geändert, dass er alle Dateien im vorgeschlagenen Eintragsverzeichnis umfasst. Durch Doppelklicken auf diese Option wird der Zugriff auf alle Dateien und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt.

    Weitere Informationen zur Syntax mit Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

    Glob mit Erw

    Ändern des ursprünglichen Verzeichnispfads unter Beibehaltung der Dateinamenerweiterung. Durch einen einzelnen Klick wird /etc/apache2/file.ext zu /etc/apache2/*.ext und der Platzhalter (Sternchen) wird anstelle des Dateinamens hinzugefügt. Damit kann das Programm auf alle Dateien, die mit der Erweiterung .ext enden, in den vorgeschlagenen Verzeichnissen zugreifen. Durch Doppelklicken auf diese Option wird der Zugriff auf alle Dateien (mit der angegebenen Erweiterung) und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt.

    Bearbeiten

    Ermöglicht die Bearbeitung der markierten Zeile. Die neue (bearbeitete) Zeile erscheint am Ende der Liste.

    Abbrechen

    Bricht logprof ab, verwirft alle bereits eingegebenen Regeländerungen und belässt die Profile unverändert.

    Beenden

    Beendet logprof, speichert alle bereits eingegebenen Regeländerungen und ändert alle Profile entsprechend.

    Klicken Sie für jeden Lernmodus-Eintrag auf Allow (Erlauben) oder Deny (Ablehnen). Diese Einträge helfen bei der Erstellung des Novell AppArmor-Profils.

    [Note]Anmerkung

    Die Anzahl der Lernmodus-Einträge hängt von der Komplexität der Anwendung ab.

    Wiederholen Sie die vorherigen Schritte, wenn Sie in Ihrer Anwendung mehr Funktionalität ausführen müssen.

    Wenn Sie fertig sind, klicken Sie auf Beenden. Klicken Sie im darauf folgenden Popup-Fenster auf Ja, um den Assistenten zur Profilerstellung zu beenden. Das Profil wird gespeichert und in das Novell AppArmor-Modul geladen.

3.3.2. Manuelles Hinzufügen eines Profils

Novell AppArmor ermöglicht Ihnen, ein Novell AppArmor-Profil durch manuelles Hinzufügen von Einträgen im Profil zu erstellen. Sie müssen einfach die Anwendung auswählen, für die das Profil erstellt wird, und dann Einträge hinzufügen.

  1. Um ein Profil hinzuzufügen, öffnen Sie YaST+Novell AppArmor. Die Novell AppArmor-Oberfläche wird geöffnet.

  2. Klicken Sie in Novell AppArmor auf Profil manuell hinzufügen (siehe Abbildung 3.3, „Manuelles Hinzufügen eines Profils: Anwendung auswählen“ (↑ Novell AppArmor 2.0-Administrationshandbuch )).

    Abbildung 3.3. Manuelles Hinzufügen eines Profils: Anwendung auswählen

    Wählen der Anwendung, die ein Profil erhalten soll
  3. Navigieren Sie in Ihrem System zu der Anwendung, für die das Profil erstellt werden soll.

  4. Um das Profil zu finden, wählen Sie es aus und klicken Sie auf Öffnen. Ein grundlegendes leeres Profil wird im Dialogfeld Novell AppArmor-Profil angezeigt.

    Manuelles Erstellen eines Profils
  5. Im Fenster AppArmor-Profildialog können Sie Novell AppArmor-Profileinträge hinzufügen, bearbeiten oder löschen, indem Sie auf die entsprechenden Schaltflächen klicken und die folgenden Abschnitte beachten: Abschnitt 3.3.2.1, „Hinzufügen eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ), Abschnitt 3.3.2.2, „Bearbeiten eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) bzw. Abschnitt 3.3.2.2, „Bearbeiten eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

  6. Wenn Sie fertig sind, klicken Sie auf Fertig.

3.3.2.1. Hinzufügen eines Eintrags

Dieser Abschnitt erläutert die Option Add Entry (Eintrag hinzufügen) in Abschnitt 3.3.2, „Manuelles Hinzufügen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) oder Abschnitt 3.3.3, „Bearbeiten eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Wenn Sie Add Entry (Eintrag hinzufügen) wählen, zeigt eine Dropdown-Liste die Eintragstypen, die Sie dem Novell AppArmor-Profil hinzufügen können.

3.3.2.2. Bearbeiten eines Eintrags

Dieser Abschnitt erläutert die Option Edit Entry (Eintrag bearbeiten) in Abschnitt 3.3.2, „Manuelles Hinzufügen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) oder Abschnitt 3.3.3, „Bearbeiten eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Wenn Sie Edit Entry (Eintrag bearbeiten) wählen, wird das Dateibrowser-Fenster geöffnet. Hier können Sie den ausgewählten Eintrag bearbeiten.

Geben Sie im Popup-Fenster den absoluten Pfad einer Datei samt der erlaubten Zu­griffsart an. Bei Bedarf können Sie Platzhalter verwenden. Klicken Sie zum Abschluss auf OK.

Informationen zu Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Informationen zu Dateizugriffsberechtigungen finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

Bearbeiten eines Eintrags

3.3.2.3. Löschen eines Eintrags

Dieser Abschnitt erläutert die Option Delete Entry (Eintrag löschen) in Abschnitt 3.3.2, „Manuelles Hinzufügen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) oder Abschnitt 3.3.3, „Bearbeiten eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Wenn Sie einen Eintrag auswählen und dann Delete Entry (Eintrag löschen) wählen, entfernt Novell AppArmor den ausgewählten Profileintrag.

3.3.3. Bearbeiten eines Profils

Novell AppArmor ermöglicht Ihnen, Novell AppArmor-Profile manuell zu bearbeiten, indem Sie Einträge hinzufügen, bearbeiten oder löschen. Sie müssen einfach das Profil auswählen und dann Einträge hinzufügen, bearbeiten oder löschen. Führen Sie die folgenden Schritte aus, um ein Profil zu bearbeiten:

  1. Öffnen Sie YaST+Novell AppArmor.

  2. Klicken Sie unter Novell AppArmor auf Profil bearbeiten. Das Fenster Edit Profile—Choose Profile to Edit (Profil bearbeiten – Profil auswählen) wird geöffnet.

    Choose profile to edit (Profil auswählen)
  3. Wählen Sie aus der Liste der Programme mit Profil das Profil, das Sie bearbeiten möchten.

  4. Klicken Sie auf Weiter. Das Fenster AppArmor-Profildialog zeigt das Profil an.

    AppArmor-Profildialog
  5. Im Fenster AppArmor-Profildialog können Sie Novell AppArmor-Profileinträge hinzufügen, bearbeiten oder löschen, indem Sie auf die entsprechenden Schaltflächen klicken und die folgenden Abschnitte beachten: Abschnitt 3.3.2.1, „Hinzufügen eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ), Abschnitt 3.3.2.2, „Bearbeiten eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) bzw. Abschnitt 3.3.2.3, „Löschen eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

  6. Wenn Sie fertig sind, klicken Sie auf Fertig.

  7. Klicken Sie im darauf folgenden Popup-Fenster auf Ja, um die Änderungen des Profils zu bestätigen.

3.3.4. Löschen eines Profils

Novell AppArmor ermöglicht Ihnen, ein Novell AppArmor-Profil manuell zu löschen. Sie müssen einfach die Anwendung auswählen, für die ein Profil gelöscht werden soll, und dieses dann wie folgt löschen:

  1. Öffnen Sie YaST+Novell AppArmor. Die Novell AppArmor-Oberfläche wird angezeigt.

  2. Klicken Sie unter Novell AppArmor auf das Symbol Profil löschen. Das Fenster Delete Profile - Choose Profile to Delete (Profil löschen – Profil auswählen) wird geöffnet.

    Delete profile, choose profile to delete (Profil löschen — Profil auswählen)
  3. Wählen Sie das zu löschende Profil aus.

  4. Klicken Sie auf Weiter.

  5. Klicken Sie im darauf folgenden Popup-Fenster auf Ja, um das Profil zu löschen.

3.3.5. Aktualisieren von Profilen aus den Syslog-Einträgen

Der Novell AppArmor-Profilassistent verwendet das Werkzeug logprof, das Proto­kolldateien scannt und Ihnen ermöglicht, Profile zu aktualisieren. logprof verfolgt die Meldungen aus dem Novell AppArmor-Modul, die Ausnahmen für alle auf Ihrem System ausgeführten Profile darstellen. Diese Ausnahmen repräsentieren das Verhalten der Anwendung mit Profil, die sich außerhalb der Profildefinition für das Programm befindet. Sie können dem betreffenden Profil das neue Verhalten hinzufügen, indem Sie den vorgeschlagenen Profileintrag auswählen.

  1. Öffnen Sie YaST+Novell AppArmor. Die Novell AppArmor-Oberfläche wird angezeigt.

  2. Klicken Sie unter Novell AppArmor auf Assistent zum Aktualisieren von Profilen. Das Fenster AppArmor-Profilassistent wird geöffnet.

    Der AppArmor-Profilassistent

    Beim Ausführen des Assistenten zum Aktualisieren von Profilen (logprof) werden die Lernmodus-Protokolldateien analysiert. Damit wird eine Serie von Fragen erzeugt, die Sie beantworten müssen, um logprof beim Generieren des Sicherheitsprofils zu lenken.

    Die Fragen lassen sich in zwei Kategorien teilen:

    Jeder dieser Fälle führt zu einer Frage, die Sie beantworten müssen, um dem Profil die Ressource oder das Programm hinzuzufügen. Die folgenden beiden Abbildungen zeigen ein Beispiel für den jeweiligen Fall. Nachfolgende Schritte beschreiben Ihre Möglichkeiten bei der Beantwortung dieser Fragen.

    Abbildung 3.4. Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen

    Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen

    Abbildung 3.5. Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag

    Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag
  3. logprof beginnt Verzeichnispfad-Einträge vorzuschlagen, auf welche die Anwendung, für die Sie ein Profil erstellen, zugegriffen hat (wie in Abbildung 3.4, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) gezeigt), oder fordert Sie auf, Ausführungsberechtigungen für Einträge zu definieren (wie in Abbildung 3.5, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) gezeigt).

    1. Für Abbildung 3.4, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ): Wählen Sie aus den folgenden Optionen die geeignete für die Zugriffsanforderung, etwa eine vorgeschlagene include-Anweisung, eine bestimmte Pfadversion mit Platzhaltern oder den tatsächlichen Pfadnamen. Beachten Sie, dass nicht immer alle Optionen verfügbar sind.

      #include

      Der Abschnitt eines Novell AppArmor-Profils, der auf eine include-Datei verweist. Include-Dateien rufen Zugriffsberechtigungen für Programme ab. Durch Verwenden einer include-Anweisung können Sie dem Programm Zugriff auf Verzeichnispfade oder Dateien geben, die auch von anderen Programmen benötigt werden. Mithilfe von include-Anweisungen lässt sich die Größe eines Profils verringern. Es empfiehlt sich, include-Anweisungen zu wählen, wenn diese vorgeschlagen werden.

      Version mit Platzhalter

      Zugriff durch Klicken auf Glob, wie im nächsten Schritt beschrieben. Weitere Informationen zur Auflösung der Syntax finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

      Tatsächlicher Pfadname

      Dies ist der buchstabengetreu angegebene Pfad, auf den das Programm zugreifen muss, damit es reibungslos ablaufen kann.

    2. Für Abbildung 3.5, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag“ (↑ Novell AppArmor 2.0-Administrationshandbuch ): Wählen Sie die Option, die Ihren Zugriffsanforderungen entspricht, aus den folgenden:

      Inherit (Erben)

      Verbleiben im selben Sicherheitsprofil (Profil des übergeordneten Programms).

      Profil

      Verlangt, dass ein separates Profil für das ausgeführte Programm existiert.

      Unconfined (Uneingeschränkt)

      Programm ohne Sicherheitsprofil ausgeführt

      [Warning]Warnung

      Sofern nicht unbedingt nötig, führen Sie das Programm nicht uneingeschränkt aus. Wenn Sie die Option Unconfined (Uneingeschränkt) wählen, wird das neue Programm ohne jeglichen Schutz von AppArmor ausgeführt.

  4. Nach der Wahl eines Verzeichnispfads müssen Sie diesen als einen Eintrag im Novell AppArmor-Profil festlegen, indem Sie auf Allow (Erlauben) oder Deny (Ablehnen) klicken. Wenn Sie nicht mit dem angezeigten Eintrag des Verzeichnispfads einverstanden sind, können Sie ihn durch Glob oder Edit (Bearbeiten) ändern.

    Die folgenden Optionen sind für die Verarbeitung der Lernmodus-Einträge und die Erstellung des Profils verfügbar:

    Allow (Erlauben)

    Gewährt dem Programm Zugriff auf die angegebenen Verzeichnispfad-Einträge. Der Assistent zum Erstellen von Profilen schlägt Dateizugriffsberechtigung vor. Weitere Informationen dazu finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

    Deny (Ablehnen)

    Klicken Sie auf Deny (Verweigern), um das Programm am Zugriff auf die angegebenen Verzeichnispfad-Einträge zu hindern.

    Glob

    Durch Klicken auf diese Option wird der Verzeichnispfad (durch Verwendung von Platzhaltern) so geändert, dass er alle Dateien im vorgeschlagenen Eintragsverzeichnis umfasst. Durch Doppelklicken auf diese Option wird der Zugriff auf alle Dateien und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt.

    Weitere Informationen zur Syntax mit Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).

    Glob mit Erw

    Ändern des ursprünglichen Verzeichnispfads unter Beibehaltung der Dateinamenerweiterung. Durch einen einzelnen Klick wird /etc/apache2/file.ext zu /etc/apache2/*.ext und der Platzhalter (Sternchen) wird anstelle des Dateinamens hinzugefügt. Damit kann das Programm auf alle Dateien, die mit der Erweiterung .ext enden, in den vorgeschlagenen Verzeichnissen zugreifen. Durch Doppelklicken auf diese Option wird der Zugriff auf alle Dateien (mit der angegebenen Erweiterung) und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt.

    Bearbeiten

    Ermöglicht die Bearbeitung der markierten Zeile. Die neue (bearbeitete) Zeile erscheint am Ende der Liste.

    Abbrechen

    Bricht logprof ab, verwirft alle bereits eingegebenen Regeländerungen und belässt die Profile unverändert.

    Beenden

    Beendet logprof, speichert alle bereits eingegebenen Regeländerungen und ändert alle Profile entsprechend.

    Klicken Sie für jeden Lernmodus-Eintrag auf Allow (Erlauben) oder Deny (Ablehnen). Diese Einträge helfen bei der Erstellung des Novell AppArmor-Profils.

    [Note]Anmerkung

    Die Anzahl der Lernmodus-Einträge hängt von der Komplexität der Anwendung ab.

    Wiederholen Sie die vorherigen Schritte, wenn Sie in Ihrer Anwendung mehr Funktionalität ausführen müssen.

    Wenn Sie fertig sind, klicken Sie auf Beenden. Klicken Sie im darauf folgenden Popup-Fenster auf Ja, um den Assistenten zur Profilerstellung zu beenden. Das Profil wird gespeichert und in das Novell AppArmor-Modul geladen.

3.3.6. Verwalten des Status von Novell AppArmor und Sicherheitsereignissen

Novell AppArmor ermöglicht Ihnen, den Status von Novell AppArmor zu ändern und die Ereignisbenachrichtigung zu konfigurieren.

Ändern des Novell AppArmor-Status

Sie können den Status von Novell AppArmor durch Aktivieren oder Deaktivieren ändern. Wenn Sie Novell AppArmor aktivieren, wird Ihr System vor potenzieller unberechtigter Programmbenutzung geschützt. Durch Deaktivieren von Novell AppArmor, selbst wenn Ihre Profile eingerichtet wurden, wird der Schutz von Ihrem System entfernt.

Konfigurieren der Ereignisbenachrichtigung

Sie können bestimmen, wie und wann Sie beim Auftreten von Systemsicherheitsereignissen benachrichtigt werden.

[Note]Anmerkung

Sie müssen zunächst auf Ihrem SUSE Linux-Server einen Mailserver einrichten, der ausgehende Mail mit dem SMTP-Protokoll senden kann. Verwenden Sie beispielsweise postfix oder exim, damit die Ereignisbenachrichtigung funktioniert.

Führen Sie die folgenden Schritte aus, um Ereignisbenachrichtigung zu konfigurieren und den Status von Novell AppArmor zu ändern:

  1. Wenn Sie auf Novell AppArmor-Kontrollleiste klicken, wird das Fenster Novell AppArmor-Konfiguration wie folgt geöffnet:

    Die AppArmor-Kontrollleiste
  2. Bestimmen Sie im Fenster AppArmor-Konfiguration, ob Novell AppArmor und die Sicherheitsereignisbenachrichtigung ausgeführt werden, indem Sie nach einer Statusmeldung suchen, die enabled (aktiviert) lautet.

3.3.6.1. Ändern des Novell AppArmor-Status

Wenn Sie den Status von Novell AppArmor ändern, setzen Sie ihn auf "enable" (aktiviert) oder "disable" (deaktiviert). Wenn Novell AppArmor aktiviert ist, ist es installiert, wird ausgeführt und setzt die Novell AppArmor-Sicherheitsrichtlinien durch.

  1. Um Novell AppArmor zu aktivieren, öffnen Sie YaST+Novell AppArmor. Das Novell AppArmor-Hauptmenü wird angezeigt.

  2. Klicken Sie im Novell AppArmor-Hauptmenü auf AppArmor-Kontrollleiste. Das Fenster AppArmor-Konfiguration wird angezeigt.

    AppArmor-Konfigurationsfenster
  3. Klicken Sie im Bereich Novell AppArmor aktivieren des Fensters auf Konfigu­rieren. Das Dialogfeld Novell AppArmor aktivieren wird geöffnet.

    AppArmor aktivieren
  4. Aktivieren oder deaktivieren Sie Novell AppArmor, indem Sie Aktivieren bzw. Deaktivieren wählen. Klicken Sie dann auf OK.

  5. Klicken Sie im Fenster AppArmor-Konfiguration auf Fertig.

  6. Klicken Sie im YaST-Kontrollzentrum auf Datei+Beenden.