Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/AppArmor"
Differenze tra le versioni 1 e 20 (in 19 versioni)
Versione 1 del 18/10/2007 14.55.37
Dimensione: 2949
Autore: LucaFerretti
Commento: Iniziata la traduzione. Per ora solo sezione 1
Versione 20 del 21/05/2008 09.03.38
Dimensione: 8571
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 6: Linea 6:
= Nota =
La traduzione di questo documento non è ancora completa. Consultare la sezione ''Ulteriori risorse'' per collegamento al documento originale
= Introduzione =
'''App``Armor''' è una implementazione del '''Linux Security Module''' di controlli d'accesso basati sul nome. '''App``Armor''' confina i singoli programmi a un gruppo di file selezionati e capacità POSIX 1003.1e draft.
Linea 9: Linea 9:
= Introduzione =
App``Armor è una implementazione Linux Security Module di controlli d'accesso basato sul nome. App``Armor confina i singoli programmi a un gruppo di file elencati e "draft capabilities posix 1003.1e"
''-- se non ci capite nulla, beh, non siete i soli --Luca''
'''App``Armor''' è stato reso disponibile su Ubuntu per la prima volta in '''Ubuntu 7.04''' «'''Feisty Fawn'''» nel [:Repository:repository] '''universe'''.
Linea 13: Linea 11:
App``Armor è stato reso disponibile su Ubuntu per la prima volta in Ubuntu 7.04 nel repository Universe. = Installazione su Ubuntu 7.10 «Gutsy Gibbon» e successive =
Linea 15: Linea 13:
= Installazione = In '''Ubuntu 7.10''' «'''Gutsy Gibbon'''» e successive, '''App``Armor''' è installato e caricato in modo predefinito. Alcuni pacchetti installano dei profili propri, ma profili aggiuntivi possono essere trovati nel pacchetto ''apparmor-profiles'' presente nel [:Repository/Componenti:componente] '''universe'''.
Linea 17: Linea 15:
== Ubuntu 7.10 (Gutsy) ==
In Gutsy, App``Armor è installato e caricato in modo predefinito. Alcuni pacchetti installano dei profili propri. Profili aggiuntivi possono essere trovati nel pacchetto ''apparmor-profiles'' nel repository Universe.
= Installazione su Ubuntu 7.04 «Feisty Fawn» =
Linea 20: Linea 17:
=== Installare profili AppArmor addizionali ===
 * Abilitare il repository Universe.
 * Installare il pacchetto ''apparmor-profiles''. Consultare ???.
'''App``Armor''' non è incluso in modo predefinito nel kernel fornito con '''Ubuntu 7.04''' «'''Feisty Fawn'''». È necessario compilarlo manualmente.
Linea 24: Linea 19:
== Ubuntu 7.04 (Feisty) ==
App``Armor non è incluso in modo predefinito nel kernel fornito con Feisty. È necessario compilarlo manualmente.

 * Abilitare il repository Universe.
 * Installare i pacchetto ''apparmor-modules-sources'' e ''module-assistant''. Consultare ???
 * Compilare il modulo kernel apparmor:
{{{sudo m-a -v -t prepare
 * Abilitare il [:Repository:repository] '''universe'''.
 * [:AmministrazioneSistema/InstallareProgrammi:Installare] i pacchetti ''apparmor-modules-sources'' e ''module-assistant''.
 * Compilare il modulo kernel apparmor: {{{
sudo m-a -v -t prepare
Linea 34: Linea 26:
 * Installare i pacchetti 'apparmor-profiles'', ''apparmor-utils'' e ''apparmor packages''. Consultare ???  * [:AmministrazioneSistema/InstallareProgrammi:Installare] i pacchetti ''apparmor-profiles'', ''apparmor-utils'' e ''apparmor''.
Linea 37: Linea 29:
Per installare i pacchetti apparmor per Feisty più recenti, è necessario effettuare il rebuild dei pacchetti. Consultare [https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/116627 le ultime utilità apparmor per feisty (LP 116627) Per installare i pacchetti di '''App``Armor''' più recenti per '''Ubuntu 7.04''' «'''Feisty Fawn'''», è necessario rigenerare i pacchetti. Per maggiori informazioni, consultare il [https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/116627 bug #116627] su Launchpad.
Linea 40: Linea 32:
Quando viene installato un nuovo kernel o una nuova versione di ''apparmor-module-source'', è necessario ricompilare il modulo apparmor:
{{{sudo m-a -v -t -f build apparmor-modules
Quando viene installato un nuovo kernel o una nuova versione di ''apparmor-module-source'', è necessario ricompilare il modulo ''apparmor'': {{{
sudo m-a -v -t -f build apparmor-modules
Linea 46: Linea 38:
= Utilizzo = = Utilizzo di base =
Linea 48: Linea 40:
= Pesonalizzazione dei profili = Tutti i comandi debbono essere eseguiti in un terminale.

== Elencare lo stato corrente di AppArmor ==
{{{
sudo apparmor_status
}}}

== Mettere un profilo in modalità apprendimento ==
{{{
sudo aa-complain /percorso/al/binario
}}}
Esempio: {{{
sudo aa-complain /bin/ping
}}}

||<tablestyle="text-align: justify; width:100%; " style="border:none;" 5%>[[Immagine(Icone/Piccole/note.png,,center)]] ||<style="padding:0.5em; border:none;">''Nella modalità apprendimento (in originale complain) vengono rilevate le violazioni alle regole dei profili di App``Armor (per esempio il programma profilato accede a file non permessi dal profilo). Tali violazioni sono permesse, ma anche registrate. Questa modalità è conveniente per lo sviluppo di profili ed è usata dagli strumenti di App``Armor per la generazione dei profili (dalla documentazione su novell.com).'' ||

== Mettere tutti i profili in modalità apprendimento ==
{{{
sudo aa-complain /etc/apparmor.d/*
}}}

== Mettere un profilo in modalità esecutiva ==
{{{
sudo aa-enforce /percorso/al/binario
}}}
Esempio: {{{
sudo aa-enforce /bin/ping
}}}

||<tablestyle="text-align: justify; width:100%; " style="border:none;" 5%>[[Immagine(Icone/Piccole/note.png,,center)]] ||<style="padding:0.5em; border:none;">''Il caricamento di un profilo nella modalità di esecuzione (enforcment) fa sì che sia rispettata la politica definita nel profilo e allo stesso tempo segnalata a syslogd ogni tentata violazione (dalla documentazione su novell.com).''||

== Mettere tutti i profili in modalità esecutiva ==
{{{
sudo aa-enforce /etc/apparmor.d/*
}}}

== Disabilitare l'infrastruttura AppArmor ==
{{{
sudo /etc/init.d/apparmor kill
sudo update-rc.d -f apparmor remove
}}}

== Abilitare l'infrastruttura AppArmor ==
{{{
sudo /etc/init.d/apparmor start
sudo update-rc.d apparmor start 37 S .
}}}

== Ricaricare tutti i profili ==
{{{
sudo /etc/init.d/apparmor reload
}}}

== Ricaricare un profilo ==
{{{
cat /etc/apparmor.d/nome.profilo | sudo apparmor_parser -r
}}}
Esempio: {{{
cat /etc/apparmor.d/bin.ping | sudo apparmor_parser -r
}}}

== Disabilitare un profilo ==
{{{
ln -s /etc/apparmor.d/nome.profilo /etc/apparmor.d/disable/
apparmor_parser -R /etc/apparmor.d/nome.profilo
}}}
Esempio:
{{{
ln -s /etc/apparmor.d/bin.ping /etc/apparmor.d/disable/
apparmor_parser -R /etc/apparmor.d/bin.ping
}}}

== Abilitare un profilo ==
In modo predefinito, i profili sono abilitati (cioè caricati all'interno del kernel e applicati ai processi).
{{{
rm /etc/apparmor.d/disable/nome.profilo
cat /etc/apparmor.d/nome.profilo | sudo apparmor_parser -a
}}}
Esempio: {{{
rm /etc/apparmor.d/disable/bin.ping
cat /etc/apparmor.d/bin.ping | sudo apparmor_parser -a
}}}

= Personalizzazione dei profili =
I profili possono essere trovati in `/etc/apparmor.d/`.

Alcune personalizzazioni possono essere compiute in `/etc/apparmor.d/tunables/`.

== Impostare la posizione delle directory home ==
La posizione delle directory home può essere regolata in `/etc/apparmor.d/tunables/home`.
Linea 52: Linea 134:
== apparmor_status riporta processi che sono non confinati ma che hanno definito un profilo ==
Riavviare i processi elencati. Anche eseguire un riavvio di sistema corregge il problema.

'''App``Armor''' può tenere traccia e proteggere solo i processi che sono avviato dopo che il modulo kernel è stato caricato. Dopo l'installazione dei pacchetti ''apparmor'', '''App``Armor''' viene avviato. I processi già in esecuzione però non vengono protetti da '''App``Armor'''. Sia riavviare il processo che l'intero sistema corregge il problema.

È anche possibile applicare un profilo a un processo già in esecuzione attraverso il seguente comando: {{{
sudo sh -c "echo 'setprofile /percorso/al/binario' > /proc/pid/attr/current"
}}}

[[Anchor(newprofile)]]
Linea 54: Linea 146:
== Progettare un piano di test ==
Provare a pensare a come è possibile mettere sotto tortura l'applicazione. Il piano di test dovrebbe essere diviso in casi di test più piccoli. Ciascun caso di test dovrebbe avere una piccola descrizione ed elencare i passi da seguire.

Alcuni casi di test standard sono:
 * avviare il programma
 * arrestare il programma
 * ricaricare il programma
 * controllare tutti i comandi supportati dallo script di init

== Generare il nuovo profilo ==

Usare ''aa-genprof'' per generare un nuovo profilo.

Da un terminale, usare il comando ''aa-genprof'': {{{
sudo aa-genprof eseguibile
}}}

Esempio: {{{
sudo aa-genprof slapd
}}}

Maggiori informazioni sono disponibili nella pagina di manuale: {{{
man aa-genprof
}}}

== Includere il proprio nuovo profilo nel pacchetto apparmor-profiles ==

Per fare in modo che il proprio nuovo profilo sia incluso nel pacchetto ''apparmor-profiles'', aprire in Launchpad un bug per il [https://bugs.launchpad.net/ubuntu/+source/apparmor/+filebug pacchetto AppArmor]:

 * includere il proprio piano di test e i casi di test
 * allegare il proprio profilo al bug

[[Anchor(updateprofile)]]
Linea 55: Linea 180:

Quando il programma non si comporta in modo corretto, vengono inviati dei messaggi di audit ai file di registro. È possibile usare il programma ''aa-logprof'' per scansionare i file di registro in cerca dei messaggi di '''App``Armor''', revisionare tali messaggi e aggiornare i profili: {{{
sudo aa-logprof
}}}

Maggiori informazioni sono disponibili nella pagina di manuale: {{{
man aa-logprof
}}}
Linea 61: Linea 194:
 * [http://www.novell.com/documentation/apparmor/index.html?page=/documentation/apparmor/apparmor_user/data/bktitleuser.html Guida rapida e Guida di Amministrazione su Novell Doc]

BR

Introduzione

AppArmor è una implementazione del Linux Security Module di controlli d'accesso basati sul nome. AppArmor confina i singoli programmi a un gruppo di file selezionati e capacità POSIX 1003.1e draft.

AppArmor è stato reso disponibile su Ubuntu per la prima volta in Ubuntu 7.04 «Feisty Fawn» nel [:Repository:repository] universe.

Installazione su Ubuntu 7.10 «Gutsy Gibbon» e successive

In Ubuntu 7.10 «Gutsy Gibbon» e successive, AppArmor è installato e caricato in modo predefinito. Alcuni pacchetti installano dei profili propri, ma profili aggiuntivi possono essere trovati nel pacchetto apparmor-profiles presente nel [:Repository/Componenti:componente] universe.

Installazione su Ubuntu 7.04 «Feisty Fawn»

AppArmor non è incluso in modo predefinito nel kernel fornito con Ubuntu 7.04 «Feisty Fawn». È necessario compilarlo manualmente.

Installare la versione più recente

Per installare i pacchetti di AppArmor più recenti per Ubuntu 7.04 «Feisty Fawn», è necessario rigenerare i pacchetti. Per maggiori informazioni, consultare il [https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/116627 bug #116627] su Launchpad.

Aggiornamento kernel/apparmor-module-source

Quando viene installato un nuovo kernel o una nuova versione di apparmor-module-source, è necessario ricompilare il modulo apparmor:

sudo m-a -v -t -f build apparmor-modules
sudo m-a -v -t install apparmor-modules

Per essere sicuri che tutti i processi in esecuzione siano protetti, è necessario riavviare il sistema.

Utilizzo di base

Tutti i comandi debbono essere eseguiti in un terminale.

Elencare lo stato corrente di AppArmor

sudo apparmor_status

Mettere un profilo in modalità apprendimento

sudo aa-complain /percorso/al/binario

Esempio:

sudo aa-complain /bin/ping

Immagine(Icone/Piccole/note.png,,center)

Nella modalità apprendimento (in originale complain) vengono rilevate le violazioni alle regole dei profili di AppArmor (per esempio il programma profilato accede a file non permessi dal profilo). Tali violazioni sono permesse, ma anche registrate. Questa modalità è conveniente per lo sviluppo di profili ed è usata dagli strumenti di AppArmor per la generazione dei profili (dalla documentazione su novell.com).

Mettere tutti i profili in modalità apprendimento

sudo aa-complain /etc/apparmor.d/*

Mettere un profilo in modalità esecutiva

sudo aa-enforce /percorso/al/binario

Esempio:

sudo aa-enforce /bin/ping

Immagine(Icone/Piccole/note.png,,center)

Il caricamento di un profilo nella modalità di esecuzione (enforcment) fa sì che sia rispettata la politica definita nel profilo e allo stesso tempo segnalata a syslogd ogni tentata violazione (dalla documentazione su novell.com).

Mettere tutti i profili in modalità esecutiva

sudo aa-enforce /etc/apparmor.d/*

Disabilitare l'infrastruttura AppArmor

sudo /etc/init.d/apparmor kill
sudo update-rc.d -f apparmor remove

Abilitare l'infrastruttura AppArmor

sudo /etc/init.d/apparmor start
sudo update-rc.d apparmor start 37 S .

Ricaricare tutti i profili

sudo /etc/init.d/apparmor reload

Ricaricare un profilo

cat /etc/apparmor.d/nome.profilo | sudo apparmor_parser -r

Esempio:

cat /etc/apparmor.d/bin.ping | sudo apparmor_parser -r

Disabilitare un profilo

ln -s /etc/apparmor.d/nome.profilo /etc/apparmor.d/disable/
apparmor_parser -R /etc/apparmor.d/nome.profilo

Esempio:

ln -s /etc/apparmor.d/bin.ping /etc/apparmor.d/disable/
apparmor_parser -R /etc/apparmor.d/bin.ping

Abilitare un profilo

In modo predefinito, i profili sono abilitati (cioè caricati all'interno del kernel e applicati ai processi).

rm /etc/apparmor.d/disable/nome.profilo
cat /etc/apparmor.d/nome.profilo | sudo apparmor_parser -a

Esempio:

rm /etc/apparmor.d/disable/bin.ping
cat /etc/apparmor.d/bin.ping | sudo apparmor_parser -a

Personalizzazione dei profili

I profili possono essere trovati in /etc/apparmor.d/.

Alcune personalizzazioni possono essere compiute in /etc/apparmor.d/tunables/.

Impostare la posizione delle directory home

La posizione delle directory home può essere regolata in /etc/apparmor.d/tunables/home.

Domande frequenti

apparmor_status riporta processi che sono non confinati ma che hanno definito un profilo

Riavviare i processi elencati. Anche eseguire un riavvio di sistema corregge il problema.

AppArmor può tenere traccia e proteggere solo i processi che sono avviato dopo che il modulo kernel è stato caricato. Dopo l'installazione dei pacchetti apparmor, AppArmor viene avviato. I processi già in esecuzione però non vengono protetti da AppArmor. Sia riavviare il processo che l'intero sistema corregge il problema.

È anche possibile applicare un profilo a un processo già in esecuzione attraverso il seguente comando:

sudo sh -c "echo 'setprofile /percorso/al/binario' > /proc/pid/attr/current"

Anchor(newprofile)

Creazione di un nuovo profilo

Progettare un piano di test

Provare a pensare a come è possibile mettere sotto tortura l'applicazione. Il piano di test dovrebbe essere diviso in casi di test più piccoli. Ciascun caso di test dovrebbe avere una piccola descrizione ed elencare i passi da seguire.

Alcuni casi di test standard sono:

  • avviare il programma
  • arrestare il programma
  • ricaricare il programma
  • controllare tutti i comandi supportati dallo script di init

Generare il nuovo profilo

Usare aa-genprof per generare un nuovo profilo.

Da un terminale, usare il comando aa-genprof:

sudo aa-genprof eseguibile

Esempio:

sudo aa-genprof slapd

Maggiori informazioni sono disponibili nella pagina di manuale:

man aa-genprof

Includere il proprio nuovo profilo nel pacchetto apparmor-profiles

Per fare in modo che il proprio nuovo profilo sia incluso nel pacchetto apparmor-profiles, aprire in Launchpad un bug per il [https://bugs.launchpad.net/ubuntu/+source/apparmor/+filebug pacchetto AppArmor]:

  • includere il proprio piano di test e i casi di test
  • allegare il proprio profilo al bug

Anchor(updateprofile)

Aggiornamento dei profili

Quando il programma non si comporta in modo corretto, vengono inviati dei messaggi di audit ai file di registro. È possibile usare il programma aa-logprof per scansionare i file di registro in cerca dei messaggi di AppArmor, revisionare tali messaggi e aggiornare i profili:

sudo aa-logprof

Maggiori informazioni sono disponibili nella pagina di manuale:

man aa-logprof

Ulteriori risorse


CategorySicurezza