3.4. Creazione di profili Novell AppArmor mediante l'interfaccia a riga di comando

Novell AppArmor consente di utilizzare un'interfaccia a riga di comando anziché grafica per la gestione e la configurazione della sicurezza del sistema.

3.4.1. Verifica dello stato del modulo AppArmor

Il modulo AppArmor può presentare uno dei tre stati illustrati di seguito.

Non caricato

Il modulo AppArmor non è caricato nel kernel.

Esecuzione

Il modulo AppArmor è caricato nel kernel e applica le norme del programma Novell AppArmor.

Interrotto

Il modulo AppArmor è caricato nel kernel, ma non applica alcuna norma.

Per individuare lo stato corrente del modulo AppArmor, esaminare /sys/kernel/security/apparmor/profiles. Se cat /sys/kernel/security/apparmor/profiles include un elenco di profili, Novell AppArmor è in esecuzione. Se invece è vuoto e non restituisce alcun valore, il modulo Novell AppArmor è interrotto. Se il file non esiste, il modulo Novell AppArmor non è caricato.

È possibile caricare e scaricare il modulo Novell AppArmor con gli appositi programmi standard di Linux, quali modprobe, insmod, lsmod e rmmod. Tuttavia, questa procedura è sconsigliata. Si consiglia invece di gestire Novell AppArmor mediante lo script rcapparmor, che consente di eseguire le operazioni riportate di seguito.

rcapparmor start

Presenta diversi comportamenti in base allo stato corrente del modulo AppArmor. Se il modulo è stato scaricato, start lo carica e lo avvia nello stato esecuzione. Se il modulo è stato interrotto, start ordina al modulo di cercare i profili Novell AppArmor, generalmente disponibili in /etc/apparmor.d, e lo attiva nello stato esecuzione. Se il modulo è già in esecuzione, start mostra un messaggio di avviso e non esegue alcuna operazione.

rcapparmor stop

Interrompe il modulo AppArmor, se in esecuzione, eliminando tutti i profili dalla memoria del kernel e disabilitando completamente tutti i controlli degli accessi. Il modulo viene impostato sullo stato di interruzione. Se il modulo AppArmor è già stato scaricato o interrotto, stop tenta di scaricare di nuovo il profilo, ma non si verifica alcuna operazione.

rcapparmor restart

Consente al modulo AppArmor di ricercare i profili, generalmente disponibili in /etc/apparmor.d, senza limitare i processi in esecuzione, aggiungendo nuovi profili e rimuovendo quelli già eliminati da /etc/apparmor.d.

rcapparmor kill

Rimuove incondizionatamente il modulo AppArmor dal kernel. Questa procedura non è sicura perché lo scaricamento dei moduli dal kernel di Linux non è protetto. Questo comando è utile solo per le operazioni di debug e le emergenze, quando è probabile che il modulo sia da rimuovere.

[Note]Nota

AppArmor rappresenta un sistema efficiente di controllo degli accessi. Per ricontrollare il sistema, potrebbe essere necessario avviare il computer dal supporto di recupero (come ad esempio il CD 1 di ).

Per evitare questo problema, controllare sempre che al momento del riavvio del modulo AppArmor sul computer sia configurato un login root non limitato e in esecuzione. Se il sistema si danneggia talmente da non poter più effettuare alcun login, ad esempio se si danneggia il profilo associato al daemon SSH), è possibile risolvere questo problema con il proprio prompt root in esecuzione e quindi riavviare il modulo AppArmor.

3.4.2. Generazione di profili Novell AppArmor

Le definizioni dei profili del modulo AppArmor vengono archiviate nella directory /etc/apparmor.d/ come file di testo normale.

[Warning]Avvertimento

Tutti i file contenuti nella directory /etc/apparmor.d/ vengono interpretati come profili e caricati come tali. La ridenominazione dei file di questa directory non è sufficiente per impedire il caricamento dei profili. È necessario rimuovere i profili dalla directory per gestirli in maniera efficiente.

Per accedere a questi profili e modificarli, è possibile utilizzare un editor di testo, quale vim. Le opzioni riportate di seguito contengono le operazioni dettagliate per la creazione dei profili.

Per utilizzare vim in modo da visualizzare e modificare il profilo, digitare vim in una finestra terminale. Per abilitare la colorazione della sintassi quando si modifica un profilo Novell AppArmor in vim, utilizzare i comandi :syntax on, quindi :set syntax=apparmor. Per informazioni su vim e la colorazione della sintassi, vedere la Sezione 3.5.3.8, "apparmor.vim" (↑Guida all'amministrazione di Novell AppArmor 2.0).

[Note]Nota

Dopo aver apportato le modifiche a un profilo, utilizzare il comando rcapparmor restart, illustrato nella sezione precedente. Questo comando consente a AppArmor di rivedere i profili. Per una descrizione dettagliata della sintassi di questi file, vedere il Capitolo 3, Generazione di profili Novell AppArmor (↑Guida all'amministrazione di Novell AppArmor 2.0).

3.4.3. Aggiunta o creazione di profili Novell AppArmor

Per aggiungere o creare un profilo AppArmor per un'applicazione, è possibile utilizzare uno strumento di definizione dei profili di sistema o indipendente, in base alle proprie esigenze.

Strumento di definizione dei profili indipendente

Adatto per la definizione dei profili delle piccole applicazioni che dispongono di un tempo di esecuzione finito come ad esempio le applicazioni client utente, quali i client di posta. Vedere la Sezione 3.5.1, "Strumento di definizione dei profili indipendente" (↑Guida all'amministrazione di Novell AppArmor 2.0).

Definizione dei profili di sistema

Adatto per definizione di profili di numerosi programmi contemporaneamente e per la definizione dei profili di applicazioni che possono venire eseguite per giorni, settimane oppure continuamente mediante riavvii, come ad esempio applicazioni di server di rete, quali server Web e di posta. Vedere la Sezione 3.5.2, "Definizione dei profili di sistema" (↑Guida all'amministrazione di Novell AppArmor 2.0).

3.4.4. Modifica di un profilo Novell AppArmor

Nei passaggi seguenti viene illustrata la procedura per la modifica di un profilo Novell AppArmor. Per comprendere meglio la composizione di un profilo, vedere la Sezione 3.1, "Componenti e sintassi di un profilo" (↑Guida all'amministrazione di Novell AppArmor 2.0).

  1. Se non si è connessi come utente root, digitare su in una finestra terminale.

  2. Quando richiesto, immettere la password radice.

  3. Per passare alla directory, immettere cd /etc/apparmor.d/.

  4. Immettere ls per visualizzare tutti i profili correntemente installati.

  5. Aprire il profilo che si desidera modificare in un editor di testo, quale vim.

  6. Apportare le modifiche necessarie, quindi salvare il profilo.

  7. Riavviare Novell AppArmor immettendo rcapparmor restart in una finestra terminale.

3.4.5. Eliminazione di un profilo Novell AppArmor

Nei passaggi seguenti viene illustrata la procedura per l'eliminazione di un profilo Novell AppArmor.

  1. Se non si è connessi come utente root, immettere su in una finestra terminale.

  2. Quando richiesto, immettere la password radice.

  3. Per passare alla directory Novell AppArmor, immettere cd /etc/apparmor.d/.

  4. Immettere ls per visualizzare tutti i profili Novell AppArmor correntemente installati.

  5. Eliminare il profilo con rm profilename.

  6. Riavviare Novell AppArmor immettendo rcapparmor restart in una finestra terminale.