| 3.3. Erstellen von Novell AppArmor-Profilen in der YaST-GUI | ||
|---|---|---|
 | Kapitel 3. Erstellen von Novell AppArmor-Profilen |  |
| 3.3. Erstellen von Novell AppArmor-Profilen in der YaST-GUI | ||
|---|---|---|
| | Kapitel 3. Erstellen von Novell AppArmor-Profilen | |
Öffnen Sie die YaST GUI, indem Sie + im Hauptmenü starten. Novell AppArmor wird wie folgt in der YaST-Oberfläche geöffnet:
![[Note]](admon/note.png) | Anmerkung |
|---|---|
Sie können die YaST-Oberfläche auch starten, indem Sie ein Terminalfenster öffnen, sich als root anmelden und yast2 eingeben. | |
 |
Im rechten Rahmen sehen Sie mehrere Symbole für Novell AppArmor-Optionen. Wenn Novell AppArmor nicht im linken Rahmen des YaST-Fensters angezeigt wird oder die Novell AppArmor-Symbole nicht angezeigt werden, sollten Sie Novell AppArmor neu installieren. Die folgenden Optionen stehen in Novell AppArmor zur Verfügung.
Klicken Sie auf eines der folgenden Novell AppArmor-Symbole und fahren Sie im unten angegebenen Abschnitt fort:
Detaillierte Schritte finden Sie unter Abschnitt 3.3.1, „Hinzufügen eines Profils mit dem Assistenten“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Hinzufügen eines Novell AppArmor-Profils für eine Anwendung auf Ihrem System ohne Unterstützung des Assistenten. Detaillierte Schritte finden Sie unter Abschnitt 3.3.2, „Manuelles Hinzufügen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Bearbeiten eines bestehenden Novell AppArmor-Profils auf Ihrem System. Detaillierte Schritte finden Sie unter Abschnitt 3.3.3, „Bearbeiten eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Löschen eines bestehenden Novell AppArmor-Profils von Ihrem System. Detaillierte Schritte finden Sie unter Abschnitt 3.3.4, „Löschen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Detaillierte Schritte finden Sie unter Abschnitt 3.3.5, „Aktualisieren von Profilen aus den Syslog-Einträgen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Detaillierte Schritte finden Sie unter Abschnitt 4.3, „Berichte“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Detaillierte Schritte finden Sie unter Abschnitt 3.3.6, „Verwalten des Status von Novell AppArmor und Sicherheitsereignissen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Der dient dem Einrichten von Novell AppArmor-Profilen mithilfe der Novell AppArmor-Profilwerkzeuge genprof (Profil erstellen) und logprof (Profile aus Lernmodus-Protokolldatei aktualisieren). Weitere Informationen zu diesen Werkzeugen finden Sie unter Abschnitt 3.5.3, „Zusammenfassung der Profilwerkzeuge“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Stoppen Sie die Anwendung, bevor Sie Profile erstellen, um sicherzustellen, dass der Anwendungsstart im Profil enthalten ist. Stellen Sie dazu sicher, dass die Anwendung oder der Daemon erst dann ausgeführt werden, wenn ein Profil für sie erstellt ist.
Beispiel: Geben Sie /etc/init.d/PROGRAM stop in ein Terminalfenster ein, während Sie als root angemeldet sind. Ersetzen Sie dabei PROGRAM durch den Namen des Programms, für das Sie ein Profil erstellen möchten.
Falls noch nicht geschehen, klicken Sie in der YaST-Oberfläche auf + (Assistent zum Hinzufügen eines Profils).
 |
Geben Sie den Namen der Anwendung ein oder navigieren Sie zum Speicherort des Programms.
Klicken Sie auf . Damit wird das Novell AppArmor-Werkzeug autodep ausgeführt, das eine statische Analyse des Programms ausführt, für das ein Profil erstellt werden soll, und ein vorläufiges Profil in das Novell AppArmor-Modul lädt. Weitere Informationen zu autodep finden Sie unter Abschnitt 3.5.3.1, „autodep“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Das Fenster des wird geöffnet.
 |
Im Hintergrund setzt Novell AppArmor auch das Profil in den Lernmodus. Weitere Informationen zum Lernmodus finden Sie unter Abschnitt 3.5.3.2, „Meldungs- oder Lernmodus“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Führen Sie die Anwendung aus, für die ein Profil erstellt wird.
Führen Sie möglichst viele der Anwendungsfunktionen aus, damit der Lernmodus die Dateien und Verzeichnisse protokollieren kann, auf die das Programm für eine korrekte Funktion zugreifen muss.
Klicken Sie auf (Systemprotokoll auf Einträge für Profil durchsuchen), um die Lernmodus-Protokolldateien zu analysieren. Damit wird eine Serie von Fragen erzeugt, die Sie beantworten müssen, um den Assistenten beim Generieren des Sicherheitsprofils anzuleiten.
| Anmerkung |
|---|---|
Wenn Anforderungen zum Erstellen von Hats auftreten, fahren Sie mit Kapitel 5, Erstellen von Profilen für Ihre Webanwendungen mit ChangeHat Apache (↑ Novell AppArmor 2.0-Administrationshandbuch ) fort. | |
Die Fragen lassen sich in zwei Kategorien teilen:
Von einem Programm mit Profil wird eine Ressource angefordert, die sich nicht im Profil befindet (siehe Abbildung 3.1, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen“ (↑ Novell AppArmor 2.0-Administrationshandbuch )). Die Lernmodus-Ausnahme verlangt, dass Sie den Zugriff auf eine bestimmte Ressource erlauben oder ablehnen.
Ein Programm wird von dem Programm mit Profil ausgeführt, der Wechsel der Sicherheitsdomäne wurde nicht definiert (siehe Abbildung 3.2, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag“ (↑ Novell AppArmor 2.0-Administrationshandbuch )). Die Lernmodus-Ausnahme verlangt, dass Sie Ausführungsberechtigungen für einen Eintrag definieren.
Jeder dieser Fälle führt zu einer Serie von Fragen, die Sie beantworten müssen, um dem Profil die Ressource oder das Programm hinzuzufügen. Die folgenden beiden Abbildungen zeigen ein Beispiel für den jeweiligen Fall. Nachfolgende Schritte beschreiben Ihre Möglichkeiten bei der Beantwortung dieser Fragen.
Das Fenster des wird geöffnet.
Der beginnt Verzeichnispfad-Einträge vorzuschlagen, auf welche die Anwendung, für die Sie ein Profil erstellen, zugegriffen hat (wie in Abbildung 3.1, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) gezeigt), oder fordert Sie auf, Ausführungsberechtigungen für Einträge zu definieren (wie in Abbildung 3.2, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) gezeigt).
Für (↑ Novell AppArmor 2.0-Administrationshandbuch ): Wählen Sie aus den folgenden Optionen die geeignete für die Zugriffsanforderung, etwa eine vorgeschlagene include-Anweisung, eine bestimmte Pfadversion mit Platzhaltern oder den tatsächlichen Pfadnamen. Beachten Sie, dass nicht immer alle Optionen verfügbar sind.
#includeDer Abschnitt eines Novell AppArmor-Profils, der auf eine include-Datei verweist. Include-Dateien beziehen Zugriffsberechtigungen für Programme. Durch Verwenden einer include-Anweisung können Sie dem Programm Zugriff auf Verzeichnispfade oder Dateien geben, die auch von anderen Programmen benötigt werden. Mithilfe von include-Anweisungen lässt sich die Größe eines Profils verringern. Es empfiehlt sich, include-Anweisungen zu wählen, wenn diese vorgeschlagen werden.
Zugriff durch Klicken auf , wie im nächsten Schritt beschrieben. Weitere Informationen zur Auflösung der Syntax finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Buchstabengetreu angegebener Pfad, auf den das Programm zugreifen muss, damit es reibungslos ablaufen kann.
Für (↑ Novell AppArmor 2.0-Administrationshandbuch ): Wählen Sie aus den folgenden Optionen diejenige, die Ihren Zugriffsanforderungen entspricht.
Verbleiben im selben Sicherheitsprofil (übergeordnetes Profil).
Verlangt, dass ein separates Profil für das ausgeführte Programm existiert.
Führt das Programm ohne Sicherheitsprofil aus.
![[Warning]](admon/warning.png) | Warnung |
|---|---|
Sofern nicht unbedingt nötig, führen Sie das Programm nicht uneingeschränkt aus. Wenn Sie die Option (Uneingeschränkt) wählen, wird das neue Programm ohne jeglichen Schutz von AppArmor ausgeführt. | |
Nach der Wahl eines Verzeichnispfads müssen Sie diesen als einen Eintrag im Novell AppArmor-Profil festlegen, indem Sie auf (Erlauben) oder (Ablehnen) klicken. Wenn Sie nicht mit dem angezeigten Eintrag des Verzeichnispfads einverstanden sind, können Sie ihn durch oder (Bearbeiten) ändern.
Die folgenden Optionen sind für die Verarbeitung der Lernmodus-Einträge und die Erstellung des Profils verfügbar:
Gewährt dem Programm Zugriff auf die angegebenen Verzeichnispfad-Einträge. Der schlägt Dateizugriffsberechtigung vor. Weitere Informationen dazu finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Klicken Sie auf (Verweigern), um das Programm am Zugriff auf die angegebenen Verzeichnispfad-Einträge zu hindern.
Durch Klicken auf diese Option wird der Verzeichnispfad (durch Verwendung von Platzhaltern) so geändert, dass er alle Dateien im vorgeschlagenen Eintragsverzeichnis umfasst. Durch Doppelklicken auf diese Option wird der Zugriff auf alle Dateien und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt.
Weitere Informationen zur Syntax mit Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Ändern des ursprünglichen Verzeichnispfads unter Beibehaltung der Dateinamenerweiterung. Durch einen einzelnen Klick wird /etc/apache2/file.ext zu /etc/apache2/*.ext und der Platzhalter (Sternchen) wird anstelle des Dateinamens hinzugefügt. Damit kann das Programm auf alle Dateien, die mit der Erweiterung .ext enden, in den vorgeschlagenen Verzeichnissen zugreifen. Durch Doppelklicken auf diese Option wird der Zugriff auf alle Dateien (mit der angegebenen Erweiterung) und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt.
Ermöglicht die Bearbeitung der markierten Zeile. Die neue (bearbeitete) Zeile erscheint am Ende der Liste.
Bricht logprof ab, verwirft alle bereits eingegebenen Regeländerungen und belässt die Profile unverändert.
Beendet logprof, speichert alle bereits eingegebenen Regeländerungen und ändert alle Profile entsprechend.
Klicken Sie für jeden Lernmodus-Eintrag auf (Erlauben) oder (Ablehnen). Diese Einträge helfen bei der Erstellung des Novell AppArmor-Profils.
| Anmerkung |
|---|---|
Die Anzahl der Lernmodus-Einträge hängt von der Komplexität der Anwendung ab. | |
Wiederholen Sie die vorherigen Schritte, wenn Sie in Ihrer Anwendung mehr Funktionalität ausführen müssen.
Wenn Sie fertig sind, klicken Sie auf . Klicken Sie im darauf folgenden Popup-Fenster auf , um den zu beenden. Das Profil wird gespeichert und in das Novell AppArmor-Modul geladen.
Novell AppArmor ermöglicht Ihnen, ein Novell AppArmor-Profil durch manuelles Hinzufügen von Einträgen im Profil zu erstellen. Sie müssen einfach die Anwendung auswählen, für die das Profil erstellt wird, und dann Einträge hinzufügen.
Um ein Profil hinzuzufügen, öffnen Sie +. Die Novell AppArmor-Oberfläche wird geöffnet.
Klicken Sie in auf (siehe Abbildung 3.3, „Manuelles Hinzufügen eines Profils: Anwendung auswählen“ (↑ Novell AppArmor 2.0-Administrationshandbuch )).
Navigieren Sie in Ihrem System zu der Anwendung, für die das Profil erstellt werden soll.
Um das Profil zu finden, wählen Sie es aus und klicken Sie auf . Ein grundlegendes leeres Profil wird im Dialogfeld angezeigt.
 |
Im Fenster können Sie Novell AppArmor-Profileinträge hinzufügen, bearbeiten oder löschen, indem Sie auf die entsprechenden Schaltflächen klicken und die folgenden Abschnitte beachten: Abschnitt 3.3.2.1, „Hinzufügen eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ), Abschnitt 3.3.2.2, „Bearbeiten eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) bzw. Abschnitt 3.3.2.2, „Bearbeiten eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Wenn Sie fertig sind, klicken Sie auf .
Dieser Abschnitt erläutert die Option (Eintrag hinzufügen) in Abschnitt 3.3.2, „Manuelles Hinzufügen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) oder Abschnitt 3.3.3, „Bearbeiten eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Wenn Sie (Eintrag hinzufügen) wählen, zeigt eine Dropdown-Liste die Eintragstypen, die Sie dem Novell AppArmor-Profil hinzufügen können.
Wählen Sie eine der folgenden Optionen aus der Liste:
Geben Sie im Popup-Fenster den absoluten Pfad einer Datei samt der erlaubten Zugriffsart an. Klicken Sie zum Abschluss auf .
Bei Bedarf können Sie Platzhalter verwenden. Informationen zu Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Informationen zu Dateizugriffsberechtigungen finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
 |
Geben Sie im Popup-Fenster den absoluten Pfad eines Verzeichnisses samt der erlaubten Zugriffsart an. Bei Bedarf können Sie Platzhalter verwenden. Klicken Sie zum Abschluss auf .
Informationen zu Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Informationen zu Dateizugriffsberechtigungen finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
|
Wählen Sie in dem Popup-Fenster die geeigneten Funktionen. Dabei handelt es sich um Anweisungen, die jede der 32 Funktionen im POSIX.1e-Entwurf aktivieren. Weitere Informationen über Funktionen erhalten Sie unter Abschnitt 3.1.1, „Zerlegen eines Novell AppArmor-Profils in seine Teile“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf .
 |
Navigieren Sie in dem Popup-Fenster zu den Dateien, die als include-Dateien genutzt werden sollen. Include-Dateien sind Direktiven, die Komponenten von anderen Novell AppArmor-Profilen abrufen, um Profile zu vereinfachen. Weitere Informationen finden Sie in Abschnitt 3.1.2, „#include“ (↑
Novell AppArmor 2.0-Administrationshandbuch
).
 |
Dieser Abschnitt erläutert die Option (Eintrag bearbeiten) in Abschnitt 3.3.2, „Manuelles Hinzufügen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) oder Abschnitt 3.3.3, „Bearbeiten eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Wenn Sie (Eintrag bearbeiten) wählen, wird das Dateibrowser-Fenster geöffnet. Hier können Sie den ausgewählten Eintrag bearbeiten.
Geben Sie im Popup-Fenster den absoluten Pfad einer Datei samt der erlaubten Zugriffsart an. Bei Bedarf können Sie Platzhalter verwenden. Klicken Sie zum Abschluss auf .
Informationen zu Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Informationen zu Dateizugriffsberechtigungen finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
 |
Dieser Abschnitt erläutert die Option (Eintrag löschen) in Abschnitt 3.3.2, „Manuelles Hinzufügen eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) oder Abschnitt 3.3.3, „Bearbeiten eines Profils“ (↑ Novell AppArmor 2.0-Administrationshandbuch ). Wenn Sie einen Eintrag auswählen und dann (Eintrag löschen) wählen, entfernt Novell AppArmor den ausgewählten Profileintrag.
Novell AppArmor ermöglicht Ihnen, Novell AppArmor-Profile manuell zu bearbeiten, indem Sie Einträge hinzufügen, bearbeiten oder löschen. Sie müssen einfach das Profil auswählen und dann Einträge hinzufügen, bearbeiten oder löschen. Führen Sie die folgenden Schritte aus, um ein Profil zu bearbeiten:
Öffnen Sie +.
Klicken Sie unter auf . Das Fenster (Profil bearbeiten – Profil auswählen) wird geöffnet.
 |
Wählen Sie aus der Liste der Programme mit Profil das Profil, das Sie bearbeiten möchten.
Klicken Sie auf . Das Fenster zeigt das Profil an.
 |
Im Fenster können Sie Novell AppArmor-Profileinträge hinzufügen, bearbeiten oder löschen, indem Sie auf die entsprechenden Schaltflächen klicken und die folgenden Abschnitte beachten: Abschnitt 3.3.2.1, „Hinzufügen eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ), Abschnitt 3.3.2.2, „Bearbeiten eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) bzw. Abschnitt 3.3.2.3, „Löschen eines Eintrags“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Wenn Sie fertig sind, klicken Sie auf .
Klicken Sie im darauf folgenden Popup-Fenster auf , um die Änderungen des Profils zu bestätigen.
Novell AppArmor ermöglicht Ihnen, ein Novell AppArmor-Profil manuell zu löschen. Sie müssen einfach die Anwendung auswählen, für die ein Profil gelöscht werden soll, und dieses dann wie folgt löschen:
Der Novell AppArmor-Profilassistent verwendet das Werkzeug logprof, das Protokolldateien scannt und Ihnen ermöglicht, Profile zu aktualisieren. logprof verfolgt die Meldungen aus dem Novell AppArmor-Modul, die Ausnahmen für alle auf Ihrem System ausgeführten Profile darstellen. Diese Ausnahmen repräsentieren das Verhalten der Anwendung mit Profil, die sich außerhalb der Profildefinition für das Programm befindet. Sie können dem betreffenden Profil das neue Verhalten hinzufügen, indem Sie den vorgeschlagenen Profileintrag auswählen.
Öffnen Sie +. Die Novell AppArmor-Oberfläche wird angezeigt.
Klicken Sie unter auf . Das Fenster wird geöffnet.
 |
Beim Ausführen des (logprof) werden die Lernmodus-Protokolldateien analysiert. Damit wird eine Serie von Fragen erzeugt, die Sie beantworten müssen, um logprof beim Generieren des Sicherheitsprofils zu lenken.
Die Fragen lassen sich in zwei Kategorien teilen:
Von einem Programm mit Profil wird eine Ressource angefordert, die sich nicht im Profil befindet (siehe Abbildung 3.4, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen“ (↑ Novell AppArmor 2.0-Administrationshandbuch )).
Ein Programm wird von dem Programm mit Profil ausgeführt und der Wechsel der Sicherheitsdomäne wurde nicht definiert (siehe Abbildung 3.5, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag“ (↑ Novell AppArmor 2.0-Administrationshandbuch )).
Jeder dieser Fälle führt zu einer Frage, die Sie beantworten müssen, um dem Profil die Ressource oder das Programm hinzuzufügen. Die folgenden beiden Abbildungen zeigen ein Beispiel für den jeweiligen Fall. Nachfolgende Schritte beschreiben Ihre Möglichkeiten bei der Beantwortung dieser Fragen.
logprof beginnt Verzeichnispfad-Einträge vorzuschlagen, auf welche die Anwendung, für die Sie ein Profil erstellen, zugegriffen hat (wie in Abbildung 3.4, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) gezeigt), oder fordert Sie auf, Ausführungsberechtigungen für Einträge zu definieren (wie in Abbildung 3.5, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) gezeigt).
Für Abbildung 3.4, „Lernmodus-Ausnahme: Kontrolle des Zugriffs auf bestimmte Ressourcen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ): Wählen Sie aus den folgenden Optionen die geeignete für die Zugriffsanforderung, etwa eine vorgeschlagene include-Anweisung, eine bestimmte Pfadversion mit Platzhaltern oder den tatsächlichen Pfadnamen. Beachten Sie, dass nicht immer alle Optionen verfügbar sind.
#includeDer Abschnitt eines Novell AppArmor-Profils, der auf eine include-Datei verweist. Include-Dateien rufen Zugriffsberechtigungen für Programme ab. Durch Verwenden einer include-Anweisung können Sie dem Programm Zugriff auf Verzeichnispfade oder Dateien geben, die auch von anderen Programmen benötigt werden. Mithilfe von include-Anweisungen lässt sich die Größe eines Profils verringern. Es empfiehlt sich, include-Anweisungen zu wählen, wenn diese vorgeschlagen werden.
Zugriff durch Klicken auf , wie im nächsten Schritt beschrieben. Weitere Informationen zur Auflösung der Syntax finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Dies ist der buchstabengetreu angegebene Pfad, auf den das Programm zugreifen muss, damit es reibungslos ablaufen kann.
Für Abbildung 3.5, „Lernmodus-Ausnahme: Definieren von Ausführungsberechtigungen für einen Eintrag“ (↑ Novell AppArmor 2.0-Administrationshandbuch ): Wählen Sie die Option, die Ihren Zugriffsanforderungen entspricht, aus den folgenden:
Verbleiben im selben Sicherheitsprofil (Profil des übergeordneten Programms).
Verlangt, dass ein separates Profil für das ausgeführte Programm existiert.
Programm ohne Sicherheitsprofil ausgeführt
| Warnung |
|---|---|
Sofern nicht unbedingt nötig, führen Sie das Programm nicht uneingeschränkt aus. Wenn Sie die Option (Uneingeschränkt) wählen, wird das neue Programm ohne jeglichen Schutz von AppArmor ausgeführt. | |
Nach der Wahl eines Verzeichnispfads müssen Sie diesen als einen Eintrag im Novell AppArmor-Profil festlegen, indem Sie auf (Erlauben) oder (Ablehnen) klicken. Wenn Sie nicht mit dem angezeigten Eintrag des Verzeichnispfads einverstanden sind, können Sie ihn durch oder (Bearbeiten) ändern.
Die folgenden Optionen sind für die Verarbeitung der Lernmodus-Einträge und die Erstellung des Profils verfügbar:
Gewährt dem Programm Zugriff auf die angegebenen Verzeichnispfad-Einträge. Der schlägt Dateizugriffsberechtigung vor. Weitere Informationen dazu finden Sie unter Abschnitt 3.7, „Modi für Dateizugriffsberechtigungen“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Klicken Sie auf (Verweigern), um das Programm am Zugriff auf die angegebenen Verzeichnispfad-Einträge zu hindern.
Durch Klicken auf diese Option wird der Verzeichnispfad (durch Verwendung von Platzhaltern) so geändert, dass er alle Dateien im vorgeschlagenen Eintragsverzeichnis umfasst. Durch Doppelklicken auf diese Option wird der Zugriff auf alle Dateien und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt.
Weitere Informationen zur Syntax mit Platzhaltern finden Sie unter Abschnitt 3.6, „Pfadnamen und Platzhalter“ (↑ Novell AppArmor 2.0-Administrationshandbuch ).
Ändern des ursprünglichen Verzeichnispfads unter Beibehaltung der Dateinamenerweiterung. Durch einen einzelnen Klick wird /etc/apache2/file.ext zu /etc/apache2/*.ext und der Platzhalter (Sternchen) wird anstelle des Dateinamens hinzugefügt. Damit kann das Programm auf alle Dateien, die mit der Erweiterung .ext enden, in den vorgeschlagenen Verzeichnissen zugreifen. Durch Doppelklicken auf diese Option wird der Zugriff auf alle Dateien (mit der angegebenen Erweiterung) und Unterverzeichnisse unterhalb des angezeigten Verzeichnisses gewährt.
Ermöglicht die Bearbeitung der markierten Zeile. Die neue (bearbeitete) Zeile erscheint am Ende der Liste.
Bricht logprof ab, verwirft alle bereits eingegebenen Regeländerungen und belässt die Profile unverändert.
Beendet logprof, speichert alle bereits eingegebenen Regeländerungen und ändert alle Profile entsprechend.
Klicken Sie für jeden Lernmodus-Eintrag auf (Erlauben) oder (Ablehnen). Diese Einträge helfen bei der Erstellung des Novell AppArmor-Profils.
| Anmerkung |
|---|---|
Die Anzahl der Lernmodus-Einträge hängt von der Komplexität der Anwendung ab. | |
Wiederholen Sie die vorherigen Schritte, wenn Sie in Ihrer Anwendung mehr Funktionalität ausführen müssen.
Wenn Sie fertig sind, klicken Sie auf . Klicken Sie im darauf folgenden Popup-Fenster auf , um den zu beenden. Das Profil wird gespeichert und in das Novell AppArmor-Modul geladen.
Novell AppArmor ermöglicht Ihnen, den Status von Novell AppArmor zu ändern und die Ereignisbenachrichtigung zu konfigurieren.
Sie können den Status von Novell AppArmor durch Aktivieren oder Deaktivieren ändern. Wenn Sie Novell AppArmor aktivieren, wird Ihr System vor potenzieller unberechtigter Programmbenutzung geschützt. Durch Deaktivieren von Novell AppArmor, selbst wenn Ihre Profile eingerichtet wurden, wird der Schutz von Ihrem System entfernt.
Sie können bestimmen, wie und wann Sie beim Auftreten von Systemsicherheitsereignissen benachrichtigt werden.
| Anmerkung |
|---|---|
Sie müssen zunächst auf Ihrem SUSE Linux-Server einen Mailserver einrichten, der ausgehende Mail mit dem SMTP-Protokoll senden kann. Verwenden Sie beispielsweise postfix oder exim, damit die Ereignisbenachrichtigung funktioniert. | |
Führen Sie die folgenden Schritte aus, um Ereignisbenachrichtigung zu konfigurieren und den Status von Novell AppArmor zu ändern:
Wenn Sie auf klicken, wird das Fenster wie folgt geöffnet:
 |
Bestimmen Sie im Fenster , ob Novell AppArmor und die Sicherheitsereignisbenachrichtigung ausgeführt werden, indem Sie nach einer Statusmeldung suchen, die (aktiviert) lautet.
Um den Status von Novell AppArmor zu ändern, fahren Sie fort wie unter Abschnitt 3.3.6.1, „Ändern des Novell AppArmor-Status“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) beschrieben.
Um die Ereignisbenachrichtigung zu konfigurieren, fahren Sie fort wie unter Abschnitt 4.2.2, „Konfigurieren der Sicherheitsereignisbenachrichtigung“ (↑ Novell AppArmor 2.0-Administrationshandbuch ) beschrieben.
Wenn Sie den Status von Novell AppArmor ändern, setzen Sie ihn auf "enable" (aktiviert) oder "disable" (deaktiviert). Wenn Novell AppArmor aktiviert ist, ist es installiert, wird ausgeführt und setzt die Novell AppArmor-Sicherheitsrichtlinien durch.
Um Novell AppArmor zu aktivieren, öffnen Sie +. Das Novell AppArmor-Hauptmenü wird angezeigt.
Klicken Sie im -Hauptmenü auf . Das Fenster wird angezeigt.
 |
Klicken Sie im Bereich des Fensters auf . Das Dialogfeld wird geöffnet.
 |
Aktivieren oder deaktivieren Sie Novell AppArmor, indem Sie bzw. wählen. Klicken Sie dann auf .
Klicken Sie im Fenster auf .
Klicken Sie im YaST-Kontrollzentrum auf +.
| |  | |
| 3.2. Erstellen und Verwalten von Novell AppArmor-Profilen |  | 3.4. Erstellen von Novell AppArmor-Profilen mit der Befehlszeilenschnittstelle |