このプログラムは、選択したプログラムやアプリケーションに対応する、近似プロファイルを作成するツールです。バイナリ実行ファイルやインタプリタ型のスクリプトプログラムに対応しています。生成されたプロファイルは、 AppArmor で適切に制限を設定するにあたって、完全なものではないことから、 「近似」 プロファイルと呼ばれます。 aa-autodep で生成される近似プロファイルには、ほとんどのプログラムで必要な項目を列挙した、基本的な include ディレクティブのみが含まれる最小限のプロファイルとなります。また、特定の種類のプログラムであれば、 aa-autodep はさらに詳しいプロファイルを生成します。コマンドラインで指定したプログラムに対して ldd(1) を再帰的に呼び出し、プロファイルを生成しようとします。

近似プロファイルを生成するには aa-autodep プログラムを使用します。パラメータとしてプログラム名を単純に指定した場合は、 aa-autodep がシェルの PATH 環境変数を展開してプログラムを探します。フルパスを指定してもかまいません。また、プログラムそれ自身は任意のものでかまいません (ELF バイナリであっても、シェルや Perl のスクリプトであってもかまいません) 。 aa-autodep は、後続の動的プロファイル作成で改善を行うための、ベースとなる近似プロファイルを生成します。

生成された近似プロファイルは、 /etc/apparmor.d ディレクトリ内に、 AppArmor のプロファイル命名規約に従って出力されます。具体的には、スラッシュ ( / ) をピリオド ( . ) に置き換えたファイル名になります。 aa-autodep のコマンドの書式は下記のとおりです:

> sudo aa-autodep [ -d プロファイルのパス ] [プログラム_1 プログラム_2...]

プログラム名を入力しない場合は、入力を求められます。また、 プロファイルのパス を指定した場合は、既定のプロファイル保存先である /etc/apparmor.d を変更し、既定の場所以外にプロファイルを保存することができます。

プロファイル作成を開始するにあたっては、まずお使いのアプリケーションを構成するメインの実行ファイル (プロファイルが存在しておらず、他のプログラムから呼び出されることのない実行ファイル) に対して、プロファイルを作成しなければなりません。このような条件に該当するプログラムを、お使いのアプリケーション内ですべて見つけてから、プロファイルを作成してください。このようなプログラムを見つける方法には、下記のような方法があります:

不平モード (学習モード) ツール ( aa-complain ) は、指定した AppArmor のプロファイルルールのモードを変更するツールです。不平モードに設定したプロファイルに対しては、ルールへの違反が許容されるものの、ログに記録されるようになります。これはプロファイルを改善していくための仕組みで、いったん不平モードを設定した後、さまざまなプログラム処理を実施して、プログラムのアクセス要件をログに記録させて、そのログを元にプロファイルを改善する流れを取ります。

コマンドラインから不平モードを手作業で有効化すると、プロファイルの冒頭にフラグを設定し、 /bin/foo のような項目が /bin/foo flags=(complain) のようになります。不平モードを使用するには、 端末ウインドウを開いて、 root で下記のように入力して実行します:

上述のコマンドはいずれも、指定したプロファイルやプログラムを不平モードに切り替える処理を行います。プログラムの指定の際、これをフルパスで指定しないと、 aa-complain は $PATH 内を検索して、プログラムの場所を判断します。たとえば aa-complain /usr/sbin/* のように入力して実行すると、 /usr/sbin 内に存在するすべてのプログラムに対して、対応するプロファイルを検索し、それらすべてを不平モードに設定します。また、 aa-complain /etc/apparmor.d/* のように入力して実行すると、 /etc/apparmor.d 内にあるすべてのプロファイルを不平モードに切り替えます。

ヒント: YaST を利用したプロファイルの切り替えについて

YaST には、不平モードと強制モードを切り替えることのできるグラフィカルなフロントエンドが用意されています。詳しくは 32.4.2項 「個別のプロファイルに対するモード変更」 をお読みください。

aa-decode は、 AppArmor のログ出力内に存在する 16 進数で書かれた文字列をデコードすることができます。標準入力から監査ログを入力させることもできますし、 AppArmor のログ内にある 16 進数の文字列をデコードして、標準出力に書き出すこともできます。

aa-disable コマンドは、 1 つもしくは複数の AppArmor プロファイルの強制モードを無効化するために使用します。このコマンドを実行すると、カーネルからプロファイルの読み込みを解除して開放し、 AppArmor の起動時にもプロファイルが読み込まれないようにします。この動作を変更したい場合は、 aa-enforce もしくは aa-complain の各ツールをお使いください。

aa-easyprof は AppArmor のプロファイル生成に対して、簡易的なインターフェイスを提供する仕組みです。 aa-easyprof ではテンプレート (雛形) やグループ化の仕組みを使用して、アプリケーションのプロファイルを素早く作成することができます。 aa-easyprof はプロファイル生成の支援を行いますが、これは使用するテンプレートの品質とプロファイルのグループ、および抽象に依存しています。また、このツールは手作業でプロファイルを作成する場合や、 aa-genprof と aa-logprof を利用してプロファイルを作成する場合に比べると、制限の緩いプロファイルを作成することになります。

詳しくは aa-easyprof (8) のマニュアルページをお読みください。

強制モードでは、プロファイルで許可されていないファイルへのアクセスが禁止されるなど、 AppArmor のプロファイルルールへの違反を検知することができます。このモードでは、違反はログに記録されるだけでなく、許可もされません。そのため、普段使用する場合は強制モードの適用を推奨します。違反を記録するのみで禁止したくない場合は、不平モードに設定してください。

コマンドラインから強制モードを手作業で設定すると、プロファイルの冒頭にあるフラグを削除し、 /bin/foo flags=(complain) のような項目が /bin/foo のようになります。強制モードを使用するには、端末ウインドウを開いて、 root で下記のいずれかのように入力して実行します:

上述のコマンドはいずれも、指定したプロファイルやプログラムを強制モードに切り替える処理を行います。

プログラム名やプロファイル名を入力しない場合は、入力を求められます。また、 プロファイルのパス を指定した場合は、既定のプロファイル保存先である /etc/apparmor.d を変更し、既定の場所以外にあるプロファイルを使用することができます。

パラメータには、複数のプログラムやプロファイルを指定することができます。また、プログラムの指定の際、これをフルパスで指定しないと、 aa-complain は $PATH 内を検索して、プログラムの場所を判断します。

ヒント: YaST を利用したプロファイルの切り替えについて

YaST には、不平モードと強制モードを切り替えることのできるグラフィカルなフロントエンドが用意されています。詳しくは 32.4.2項 「個別のプロファイルに対するモード変更」 をお読みください。

aa-exec は指定したプロファイルやプロファイルネームスペースで、特定のプログラムを起動するためのツールです。プロファイルとネームスペースの両方を指定した場合、プログラムは新しいネームスペース内のプロファイルで制限を受けることになります。ネームスペースのみを指定した場合は、現在の制限内にあるプロファイル名を使用します。いずれも指定しない場合は、コマンドは標準的なプロファイル適用をそのまま使用します (つまり、 aa-exec コマンドを使用せずに起動した場合と同じ動作になります) 。

子マントのオプションについて、詳しくは man 8 aa-exec にあるマニュアルページをお読みください。

aa-genprof は AppArmor におけるプロファイル生成ユーティリティです。プロファイルが存在しない場合は、指定したプログラムに対して aa-autodep を実行して近似プロファイルを作成したあと、プロファイルを不平モードに設定して AppArmor を再読み込みさせ、ログに印を付けます。その後、ユーザに対してプログラムを実行し、その機能を一通り試すように依頼します。コマンドの書式は下記のとおりです:

> sudo aa-genprof [ -d プロファイルのパス ]  プログラム

Apache Web サーバである httpd2-prefork に対してプロファイルを作成したい場合は、 root で下記のように実行します:

グラフィカルなフロントエンドを利用して AppArmor のプロファイルを作成する場合と同様に、 YaST のプロファイル追加ウイザードや aa-genprof でも、 /usr/share/apparmor/extra-profiles 内にあるローカルプロファイルを使用することができます。

ローカルリポジトリにあるプロファイルを使用するには、下記のようにして行います:

aa-logprof は不平モードや強制モードで記録され、 /var/log/audit/audit.log 内もしくは systemd ジャーナル (詳しくは 第11章 「journalctl : systemd ジャーナルへの問い合わせコマンド」 を参照) 内に直接保存されているログを処理して、 AppArmor のセキュリティプロファイル内の新しい項目を生成することができる対話型ツールです。

aa-logprof を実行すると、まずは不平モードや強制モードで記録されたログファイルを読み込んで処理し、既存のプロファイルセット内でカバーされていない新しいセキュリティイベントが見つかった場合に、既存のプロファイルを変更するための確認メッセージを表示します。 aa-logprof では、ログファイル内の情報からプログラムの挙動を確認します。

制限を受けているプログラムが fork() したり他のプログラムを起動したりした場合、 aa-logprof はそれを検出すると、 fork() したプログラムや他のプログラムに対して適用すべき実行モードを尋ねます。実行モードは ix , px , Px , ux , Ux , cx , Cx のいずれか、もしくは名前付きプロファイルで、指定した実行モードで子プロセスを開始することになります。子プロセス向けのプロファイルが個別に存在する場合は、既定の選択肢は Px になります。逆に、プロファイルが存在しない場合は ix になります。個別のプロファイルが存在する子プロセスに対しては、 aa-autodep が実行され、動作中であれば AppArmor 内に読み込まれるようになります。

aa-logprof が終了すると、プロファイルは変更した内容に応じて更新されます。 AppArmor が有効化されていれば、更新されたプロファイルが読み込まれ。セキュリティイベントを生成したプロセスが現在も null-XXXX プロファイル (不平モードで作成される一時的なプロファイル) で動作していれば、対応する適切なプロファイルが適用されるようになります。

aa-logprof を実行するには、 root でログインしている状態で、端末ウインドウ内で aa-logprof と入力します。また、 aa-logprof では下記のようなオプションを指定することができます:

aa-logprof はログを読み込んでから、それぞれのイベントに対して処理方法を尋ねます。それぞれの質問には番号付きのリストが示され、プロファイル内にどれを追加すべきなのかを尋ねます。

既定では、 aa-logprof は /etc/apparmor.d/ 内にプロファイルがあるものとして検索します。また、 aa-logprof でプロファイルを更新する場合、 root での実行であれば十分です。ただし、長期にわたるログを読み込ませる場合など、過去の分も含めた複数のログファイルを処理させたい場合は、 zcat -f `ls -1tr ログファイルのパス/* ` | aa-logprof -f - のように実行してください。

下記の例では、 httpd2-prefork が /etc/group ファイルへのアクセスを行う際、 aa-logprof 側でどのような対応を行うのかについて説明しています。なお、 [] は既定値を表しています。

この例では、 /etc/group へのアクセスは httpd2-prefork による名前サービスの処理時に発生します。適切な回答は 1 で、これによってあらかじめ定義された AppArmor ルールを取り込むことができるようになります。 1 を選択すると、 #include によって名前サービス向けのルール一式が取り込まれ、以後に発生する DNS 関連のイベントすべてを解決することができるようになります。また、 DNS 関連の設定が変わったような場合でも、このファイルを修正すれば済むことになりますので、関連する多数のプロファイルを編集せずに済むことになります。

Profile:  /usr/sbin/httpd2-prefork
Path:     /etc/group
New Mode: r

[1 - #include <abstractions/nameservice>]
 2 - /etc/group
[(A)llow] / (D)eny / (N)ew / (G)lob / Glob w/(E)xt / Abo(r)t / (F)inish

下記のいずれかの回答をすることができます:

この例では、 vsftpd に対するプロファイル作成時の質問を示しています:

Profile:  /usr/sbin/vsftpd
Path:     /y2k.jpg

New Mode: r

[1 - /y2k.jpg]

(A)llow / [(D)eny] / (N)ew / (G)lob / Glob w/(E)xt / Abo(r)t / (F)inish

この質問には、いくつかの興味深い点があります。まず vsftpd がルートディレクトリに対するアクセス許可を求めています。ところが、 openSUSE Leap では、 vsftpd は既定で /srv/ftp 内のコンテンツを提供しているはずです。 これは、 vsftpd が chroot 環境 (jail) で動作していることによるもので、プログラム上のコードではルートディレクトリにアクセスしているつもりであるため、 AppArmor のログファイル内でも元のパスではなく、ルートディレクトリであるかのように表示されてしまいます。

次に興味深い点はファイル名です。 FTP クライアントから、ディレクトリ内にあるすべての JPEG ファイルに対するアクセスを許可したい場合は、 Glob w/Ext を選んで /*.jpg に変更して処理を進めます。これにより、個別の .jpg ファイルに対していちいち許可を設定する必要がなくなるほか、将来的に .jpg ファイルが増えたような場合でも、問題なく対応できることになります。

最後に興味深い点は、 FTP ファイル全体に対する点です。 Glob を選んで、 aa-logprof からの提案を /y2k.jpg から /* に変更します。それ以外にも、ディレクトリツリー全体に対してアクセスを許可してしまう方法もあります。この場合は New を選んで /**.jpg のように入力します。これにより、ディレクトリツリー全体に対して、すべての .jpg ファイルへのアクセスを許可します。それ以外にも、 /** と指定する方法もあります。この場合は、ディレクトリツリー全体のすべてのファイルに対して、アクセスを許可することになります。

ここまでは、読み込みアクセスに関する話題を扱ってきました。書き込みアクセスについても同様に対応することができますが、書き込みアクセスを付与するにあたっては、より保守的に (制限を厳しくする方向に) 設定しておくことをお勧めします。また、実行アクセスについてはさらに複雑です。詳しい例については 例33.1「学習モードの例外: 特定のリソースへのアクセス制御」 をお読みください。

下記の例では、 /usr/bin/mail に対してプロファイルを作成していて、 /usr/bin/mail が /usr/bin/less をヘルパーアプリケーションとして起動した際の質問の例です。 /usr/bin/less は、長いメールメッセージを 「ページ分割」 するために使用しています:

/usr/bin/nail -> /usr/bin/less
(I)nherit / (P)rofile / (C)hild / (N)ame / (U)nconfined / (X)ix / (D)eny

注記

/usr/bin/mail の実際の実行ファイルが /usr/bin/nail となっていますが、これはスペルミスなどではなく、実際に存在するプログラム名です。

プログラム /usr/bin/less は非常にシンプルなプログラムで、 1 画面以上にわたる長いテキストをスクロールしながら読むことができるプログラムです。このような便利な仕組みであることから、 /usr/bin/mail でも使用されているわけです。なお、 less はシンプルな仕組みでありながらも、同時に巨大でパワフルなプログラムでもあり、 tar や rpm などのプログラムをさらに呼び出すこともできます。

ヒント

tar ファイルや RPM ファイルに対して less を実行すると、その中に含まれている内容を表示することができます。

ですが、メールメッセージを読む際には、 rpm コマンドを自動的に実行してしまうのは危険です。なぜなら、 RPM プログラムにはシステムにプログラムをインストールしたり、プログラムを修正したりする機能が含まれるため、 Microsoft* Outlook でよく見つかるようなウイルス感染の経路になってしまうためです。そのため、ここで選ぶべき選択肢は Inherit (継承) になります。継承を指定すると、 /usr/bin/mail から実行される状況下で less プログラムを実行する場合、 /usr/bin/mail のプロファイルを適用し続けることになります。これには下記の 2 つの意味が含まれます:

その他の状況下では、 Profile オプションを選択する必要があるかもしれません。この場合は、 aa-logprof に対して下記のような効果があります:

制限を受けているプログラムが fork() したり他のプログラムを起動したりした場合、 aa-logprof はそれを検出すると、 fork() したプログラムや他のプログラムに対して適用すべき実行モードを尋ねます。実行モードは継承 (ix) , プロファイル (px , Px) , 無制限 (ux , Ux) , 子プロセス (cx , Cx) , 名前付きプロファイルのほか、実行拒否を設定することもできます。

子プロセス向けのプロファイルが個別に存在する場合は、既定の選択肢はプロファイル (Px) になります。逆に、プロファイルが存在しない場合は継承 (ix) になります。許可の詳細については、 30.7項 「ファイルアクセス許可のアクセスモード」 をお読みください。

プロファイル (px , Px) を選択した場合、子プロセス側のプログラムでは、独自のプロファイルを使用して実行します。この場合、親プロセスから子プロセスに対して環境変数を継承するにあたって、危険性のある変数の内容を削除するかどうかを尋ねます。削除するよう選択した場合は、プロファイル内に Px が書き込まれ、削除しないように選択した場合は、プロファイル内に px が書き込まれます。なお、プロファイル実行モードを選択した場合の既定値は Px です。

無制限実行モードは非推奨であり、そのプログラムに対するプロファイルをどうやっても作成することができず、それ以外の選択肢が存在しない場合にのみ選択すべきものです。無制限実行モードを選択すると、警告メッセージが表示されて確認を求められますので、 Yes を入力して進めてください。また、危険性のある変数の内容を削除するかどうかを尋ねます。削除するよう選択した場合は、プロファイル内に Ux が書き込まれ、削除しないように選択した場合は、プロファイル内に ux が書き込まれます。なお、無制限実行モードを選択した場合の既定値は Ux です。

重要: 無制限での実行について

ux や Ux の使用は非常に危険です。子プロセスの実行に際して、セキュリティ面でのポリシー強制が一切働かなくなります。

aa-unconfined コマンドは、お使いのシステムで開いているネットワークポートを調べ、システム内に読み込まれているプロファイルセットと比較を行い、 AppArmor のプロファイルのないネットワークサービスを報告します。このコマンドの実行にあたっては root の権限が必要となるほか、 AppArmor のプロファイルで制限を受けていない状況下で実行する必要があります。

aa-unconfined は /proc ファイルシステムから実行ファイルの情報を取得する仕組みであるため、 root で実行しなければなりません。また、下記のような競合状態が発生する可能性があります:

注記

このプログラムは TCP と UDP を使用するプロセスのみを一覧表示します。その他のプロトコルを利用する通信については無視されます。そのため、フォレンジック用途にはお使いいただけません。検証環境内で、ネットワークにアクセスするプロセスに対してプロファイルを作成する用途にのみお使いください。

aa-notify は、お使いのデスクトップ環境内に AppArmor の通知を表示することのできる、便利なユーティリティです。 AppArmor のログファイルを直接調査したくなく、代わりにポリシーに違反した通知のみをデスクトップに表示したい場合に有用です。 AppArmor のデスクトップ通知機能を有効化するには、下記のように入力して aa-notify を実行します:

> sudo aa-notify -p -u ユーザ名 --display ディスプレイ番号

ここで、 ユーザ名 には現在ログインしているユーザのユーザ名を、 ディスプレイ番号 には現在使用しているディスプレイのディスプレイ番号 (例: :0) をそれぞれ指定します。プログラムは裏で動作する仕組みで、拒否イベントが発生するたびに通知が表示されます。

ヒント

なお、現在使用している X Window のディスプレイ番号は、 $DISPLAY という環境変数に保存されていますので、 --display $DISPLAY と入力することで、現在のディスプレイをそのまま使用することができます。

図 33.1: GNOME 内での aa-notify メッセージ #

なお、 -s 日数 というオプションを指定すると、指定した過去日数分の通知概要を表示することができます。 aa-notify の詳細については、 man 8 aa-notify で表示されるマニュアルページをお読みください。

vim テキストエディタ向けの文法ハイライト機能を利用することで、 AppArmor のプロファイル内にある様々な機能を色付きで表示することができます。 vim と vim 向けの AppArmor 文法モードでは、プロファイルの意味を色で識別することができますので、端末ウインドウ内で入力を行いながら内容を確認することができます。

vim で AppArmor のプロファイルを編集している際、文法ハイライト機能を有効にするには、 :syntax on を実行してから :set syntax=apparmor を実行します。また、 vim 側でファイルを正しく AppArmor のプロファイルとして認識しているかどうかを調べるには、下記の内容をプロファイルの末尾に入力します:

# vim:ft=apparmor

"\n \n"

ヒント

なお、 vim を利用した場合、 /etc/apparmor.d/ ディレクトリ内のファイルを編集すると、自動的に文法ハイライト機能が有効化されます。

この機能を利用した場合は、 vim ではプロファイルの内容を下記のように表示します:

vim での文法ハイライト機能について、詳しくは apparmor.vim および vim の各マニュアルページ、もしくは vim エディタ内から :help syntax と入力して実行することで表示される、ヘルプをお読みください。また、文法ハイライトに関わる設定は、 /usr/share/vim/current/syntax/apparmor.vim. 内にあります。