Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
openSUSE Leap ドキュメンテーション › セキュリティ強化ガイド › AppArmor による権限の制限 › プロファイルを作成したアプリケーションの管理
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. I 認証
    1. 2 PAM を利用した認証
    2. 3 NIS の使用
    3. 4 YaST を利用した認証クライアントの設定
    4. 5 389 Directory Server を利用した LDAP サービス
    5. 6 Kerberos を利用したネットワーク認証
    6. 7 Active Directory サポート
    7. 8 FreeRADIUS サーバの構築
  4. II ローカルセキュリティ
    1. 9 物理的なセキュリティ
    2. 10 ソフトウエア管理
    3. 11 ファイルの管理
    4. 12 パーティションやファイルの暗号化
    5. 13 cryptctl を利用したアプリケーション向けのストレージ暗号化
    6. 14 ユーザ管理
    7. 15 cronat の制限
    8. 16 Spectre/Meltdown チェッカー
    9. 17 YaST を利用したセキュリティの設定
    10. 18 Polkit 認可フレームワーク
    11. 19 Linux でのアクセス制御リスト
    12. 20 AIDE を利用した侵入検知
  5. III ネットワークセキュリティ
    1. 21 X Window System と X 認証
    2. 22 OpenSSH によるネットワーク操作の機密保持
    3. 23 マスカレードとファイアウオール
    4. 24 VPN サーバの設定
    5. 25 X Window System で動作する PKI マネージャ XCA による管理
    6. 26 sysctl 変数によるネットワークセキュリティの改善
  6. IV AppArmor による権限の制限
    1. 27 AppArmor の紹介
    2. 28 入門
    3. 29 プログラムに対する予防接種
    4. 30 プロファイルのコンポーネントと文法
    5. 31 AppArmor のプロファイルリポジトリ
    6. 32 YaST を利用したプロファイルの構築と管理
    7. 33 コマンドラインからのプロファイル構築
    8. 34 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 35 pam_apparmor によるユーザの制限
    10. 36 プロファイルを作成したアプリケーションの管理
    11. 37 サポート
    12. 38 AppArmor 用語集
  7. V SELinux
    1. 39 SELinux の設定
  8. VI Linux 監査フレームワーク
    1. 40 Linux 監査システムの概要
    2. 41 Linux 監査フレームワークの設定
    3. 42 監査ルールセットの紹介
    4. 43 その他の情報源
  9. A GNU ライセンス
ナビゲーション
openSUSE Leap ドキュメンテーション › セキュリティ強化ガイド › AppArmor による権限の制限 › プロファイルを作成したアプリケーションの管理
トップへ
適用先 openSUSE Leap 15.7

36 プロファイルを作成したアプリケーションの管理 Edit source

36.1 アクセス拒否イベントへの対応
36.2 セキュリティプロファイルの管理

AppArmor® でアプリケーションのプロファイルを作成して予防接種を実施し、プロファイルをメンテナンス (ログファイルの分析からプロファイルの更新、プロファイルのバックアップや最新状態への維持) することで、 openSUSE® Leap は非常に効率的にシステムを堅牢にすることができます。また、電子メールへのイベント通知を設定し、 aa-logprof ツールを利用してログを調査し、プロファイルを更新することで、様々な問題が顕在化する前に対応を取ることができます。

36.1 アクセス拒否イベントへの対応 Edit source

何らかのアクセス拒否イベントが見つかった場合、まずはその内容がセキュリティ上の脅威によるものなのか、もしくは通常のアプリケーションの動作として発生したものなのかを判断します。この判断にあたっては、アプリケーション固有の知識が必要となります。もしもアクセス拒否イベントが通常のアプリケーション動作として発生したものであった場合は、コマンドラインで aa-logprof を実行してください。

アクセス拒否イベントが通常のアプリケーション動作では無いものである場合は、 AppArmor の仕組みで未然に防止することができたものの、それは悪意のある侵入である可能性があります。このような状況が発生した場合は、組織内のセキュリティ責任者に連絡を取って、対応を検討することをお勧めします。

36.2 セキュリティプロファイルの管理 Edit source

本番環境においては、配置済みのすべてのアプリケーションに対して、プロファイルをメンテナンスするよう計画すべきです。セキュリティポリシーの策定と、それに伴うプロファイルの作成を、配置作業の一環として実施すべきです。また、セキュリティポリシーファイルのバックアップと復元のほか、お使いの環境におけるソフトウエア仕様変更の計画や、それに伴うセキュリティポリシーの修正についても、検討を行うべきです。

36.2.1 セキュリティプロファイルのバックアップ Edit source

プロファイルをバックアップしておくことで、ディスク障害が発生してもプログラムのプロファイルを作り直す必要が無くなります。また、プロファイルを変更した場合でも、バックアップから復元することで、容易に以前の状態に戻ることができます。

ポリシーのバックアップ作業は、特定のディレクトリ内にプロファイルをコピーするだけです。

  1. まずはプロファイルを 1 つのファイルにまとめます。これを行うには、端末ウインドウを開いて、 root になって下記を実行します:

    > sudo tar zclpf profiles.tgz /etc/apparmor.d

    また、システムを定期的にバックアップしている場合は、バックアップ対象のディレクトリに /etc/apparmor.d を追加しておくことで、お使いのバックアップ内にプロファイルを入れておくことができます。

  2. scp や Nautilus のようなファイルマネージャを使用することで、他のストレージメディアやネットワーク、その他のコンピュータなどにコピーすることもできます。

36.2.2 セキュリティプロファイルの変更 Edit source

セキュリティプロファイルのメンテナンス作業には、アプリケーションに対するセキュリティを修正してシステムを適切に保護する作業が含まれます。 AppArmor 内でプロファイルを変更する方法について、詳しくは 32.2項 「プロファイルの編集」 をお読みください。

36.2.3 お使いの環境に対する新規ソフトウエアの導入 Edit source

システム内にインストールされているアプリケーションのバージョンを上げた場合や、修正を適用した場合、お使いの要件にあわせてプロファイルを更新する必要があります。更新方法にはいくつかのものがありますが、組織内の配置戦略にあわせて決定してください。また、テスト環境や本番環境に対して、修正やアップグレードを配置することもできます。以下では、これらそれぞれの方法について、どのようにすべきなのかについて説明しています。

テスト環境に修正やアップグレードを適用しようとしている場合は、端末を開いて root になり、 aa-logprof を実行してプロファイルを更新するのが最適な方法です。詳しい手順については 33.7.3.9項 「aa-logprof: システムログのスキャン」 をお読みください。

本番環境に直接修正やアップグレードを適用しようとしている場合は、 aa-logprof を利用してシステムを頻繁に監視し、プロファイルに更新すべき内容が無いかどうかを細かく調べて、必要であれば追加するのが最適な方法です。詳しい手順については 33.7.3.9項 「aa-logprof: システムログのスキャン」 をお読みください。

第37章 サポート第35章 pam_apparmor によるユーザの制限
このページを印刷

© 2024 SUSE