Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
apparmor [Le 19/06/2016, 14:35] 78.212.87.80 [Utilisation] |
apparmor [Le 08/01/2020, 10:47] 161.106.0.5 [Les profils] |
||
---|---|---|---|
Ligne 48: | Ligne 48: | ||
Il existe deux grands types de règles utilisées dans les profils : | Il existe deux grands types de règles utilisées dans les profils : | ||
* ''Path entries'' : les fichiers auxquels une application peut avoir accès dans le système de fichier. | * ''Path entries'' : les fichiers auxquels une application peut avoir accès dans le système de fichier. | ||
- | * ''Capability entries'' : détermine les privilèges qu'un processus restreint est autoriser à utiliser. | + | * ''Capability entries'' : détermine les privilèges qu'un processus restreint est autorisé à utiliser. |
À titre d'exemple, regardez le fichier **/etc/apparmor.d/bin.ping** : <file> /etc/apparmor.d/bin.ping> | À titre d'exemple, regardez le fichier **/etc/apparmor.d/bin.ping** : <file> /etc/apparmor.d/bin.ping> | ||
Ligne 81: | Ligne 81: | ||
<code>sudo aa-genprof /chemin/vers/mon/processus</code> | <code>sudo aa-genprof /chemin/vers/mon/processus</code> | ||
- | === Processus de type deamon === | + | === Processus de type daemon === |
On crée d'abord un profil temporaire à l'aide de la commande ''aa-autodep''. On laisse tourner le processus à confiner durant le temps nécessaire, puis on corrige le fichier de profil à l'aide des messages laissés dans les fichiers log, grâce à la commande ''aa-logprof''. Au besoin, on continue à laisser tourner le processus et on relance la commande ''aa-logprof'', jusqu'à ce que le fichier de profil soit adéquat. On peut alors placer ce fichier en mode //enforced// : <code>sudo aa-autodep /chemin/vers/mon/processus</code> | On crée d'abord un profil temporaire à l'aide de la commande ''aa-autodep''. On laisse tourner le processus à confiner durant le temps nécessaire, puis on corrige le fichier de profil à l'aide des messages laissés dans les fichiers log, grâce à la commande ''aa-logprof''. Au besoin, on continue à laisser tourner le processus et on relance la commande ''aa-logprof'', jusqu'à ce que le fichier de profil soit adéquat. On peut alors placer ce fichier en mode //enforced// : <code>sudo aa-autodep /chemin/vers/mon/processus</code> | ||
Ligne 105: | Ligne 105: | ||
====Mise à jour des profils==== | ====Mise à jour des profils==== | ||
- | Lorsque le programme ne se comporte pas correctement, des messages d'audit sont journalisés. L'application ''aa-logprof'' peut être utilisée pour analyser les massages d'audit AppArmor dans les fichiers journaux. Examinez-les puis mettez à jour le profil. Dans un terminal : | + | Lorsque le programme ne se comporte pas correctement, des messages d'audit sont journalisés. L'application ''aa-logprof'' peut être utilisée pour analyser les messages d'audit AppArmor dans les fichiers journaux. Examinez-les puis mettez à jour le profil. Dans un terminal : |
<code>sudo aa-logprof</code> | <code>sudo aa-logprof</code> | ||
Ligne 124: | Ligne 124: | ||
* [[https://code.launchpad.net/apparmor-profiles|Sur launchpad]] | * [[https://code.launchpad.net/apparmor-profiles|Sur launchpad]] | ||
- | * [[http://bodhizazen.net/Tutorials/aa|Les profiles de bodhy zazen]] | ||
* [[https://wiki.ubuntu.com/AppArmor|Wiki ubuntu Apparmor]] | * [[https://wiki.ubuntu.com/AppArmor|Wiki ubuntu Apparmor]] | ||
* [[https://wiki.ubuntu.com/DebuggingApparmor|Wiki Ubuntu DebuggingApparmor]] | * [[https://wiki.ubuntu.com/DebuggingApparmor|Wiki Ubuntu DebuggingApparmor]] |