AppArmor Co to je, k čemu slouží a jak jej používat. Zdeněk Kubala Senior QA

Podobné dokumenty
AppArmor Co to je, k čemu slouží a jak jej používat. Zdeněk Kubala Senior QA

Od Czech POINTu k vnitřní integraci

a konverze na úřadech Martin Řehořek

aktuality, novinky Ing. Martin Řehořek

Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová

Víte, kdo pracuje s vašimi dokumenty? Stanislava Birnerová

Virtualizace pomocí Novell Open Enterprise Server 2

Správa identit a bezpečnosti - cesta k bezpečnému IS. Stanislava Birnerová Direct Account Manager Novell-Praha, s.r.o.

Komerční a komunitní distribuce Linuxu. Jiří Boháč SUSE Labs SUSE LINUX s.r.o. jbohac@suse.cz

Vnitřní integrace úřadu - Správa identit a bezpečnosti

Migrací na Windows 7 to nekončí... Radek Novák Direct Account Manager Novell Professional Services ČR

Vladimír Václavek 2010/2011

Novell v roce Karel Sagl sales manager

SZIF - Evropské dotace s plnou elektronickou podporou a kontrolou

Oddělení interního auditu směřují k vyšší produktivitě pomocí moderních technologií

Jak na podporu koncových uživatelů SAP Workforce Performance Builder. Roman Bláha Head of Education (Czech Republic) Customer

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into

egon v České republice

Správa dodavatelského řetězce se SAP Ariba

Správa dodavatelského řetězce se SAP Ariba

Veritas Information Governance získejte zpět kontrolu nad vašimi daty

Analýza nestrukturovaných dat pomocí Oracle Endeca Information Discovery

Control4 Smart Home Příručka k ovládání zábavy

Windows - bezplatné služby pro školy. Jakub Vlček Specialist Microsoft Corporation

REGULÁTORY PRO DOMÁCTNOSTI TYP B NG

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Efektivní provoz koncových stanic

SAP Cash Management powered by SAP HANA. Jiří Janák, SAP Solution Architect, SAP ČR September, 2015

Mobilní počítač Dolphin TM Stručný návod k použití

Control4 Smart Home Příručka k ovládání klimatu

Control4 Smart Home Příručka k osvětlení

Control4 Smart Home Příručka k Interkomu

Windows na co se soustředit

Lukáš Kubis. MSP pro VŠB-TU Ostrava

Zabezpečení infrastruktury

produktů. produkty: AutoCAD Mechanical Showcase Autodesk Autodesk Designer SketchBook Autodesk Mudbox Vault Autodesk Ultimate Intel Xeon Intel Core

Linuxové distribuce. Michal Dočekal

Sdílíme, a co vy? Ing. Eliška Pečenková Plzeňský kraj. Ing. Václav Koudele Microsoft


System Center Operations Manager

ehealth a bezpečnost dat

Dnešní program. Jak síť využít. Přínosy sítě. Nasazení sítě. Proč síť

IBM Security. Trusteer Apex. Michal Martínek IBM Corporation IBM Corporation

XNA Game Studio 3.1. Tomáš Herceg Microsoft Most Valuable Professional Microsoft Student Partner

SAP a Digitalizace. Big data/svět věcí Technologické možnosti Pokročilý prodej a marketing Cloud Podnikové sítě

Jak udržet citlivé informace v bezpečí i v době cloudu a mobility. Jakub Jiříček, CISSP Praha, 27. listopadu 2012

Ukončovací těsnění nad izolací a ukončovací těsnění se světelnou signalizací

Jak Vám partnerské programy pomohou v rozvoji podnikání. Víte, že můžete získat software v hodnotě tisíců USD za zlomek ceny?

1. Mohu nainstalovat aplikaci Autodesk Revit, Autodesk Revit Architecture, Autodesk Revit MEP, Autodesk Revit Structure nebo Autodesk Revit LT

Ing. Tomáš Řemelka. KAAS/JIP. Informace pro vývojáře agendových informačních systémů

Thor VM3. Stručný návod k použití. Počítač do vozidla. VM3-CSCZ-QS Rev A 1/16

Zamyšlení nad dlouhodobou strategií ukládání dat pro krajské úřady

Regulátor ochrany proti zamrznutí

Produktové portfolio

Security Enhanced Linux (SELinux)

GDPR compliance v Cloudu. Jiří Černý CELA

Jabra Speak 410. Návod k obsluze.

Preliminary Draft. Stručný návod k použití. Mobilní počítač Dolphin se systémem Windows CE 5.0

HAx Topný kabel s minerální izolací (MI) a pláštěm v provedení slitina 825

SAP BIGDATA Platforma Architektura a uživatelské scénáře využití

Průvodce nastavení MULTI-USER

Výkon závislé práce mimo pracovněprávní vztah Červen 2012

Control4 Smart Home Příručka k ovládání zabezpečení

Linuxové distribuce. Michal Dočekal

Financování dodavatelského řetězce

MAXGUARD GT gelcoat na výrobu forem AME 6000 T-35 bariérová pryskyřice AROPOL XO pryskyřice na výrobu forem

Novell Identity Manager

Copyright by Silca S.p.A All Rights Reserved. products quality.

Ekonomika v prostředí samosprávy

Run simple with the next-generation software

Skype for Business 2015

Jakub Čermák Microsoft Student Partner

Příručka aplikace KNetWalk. Fela Winkelmolen Eugene Trounev

Jediný. AutoCAD. Často kladené dotazy zákazníků.

Vývojář vs. správce IT

Supplier Web Uživatelská příručka. Supplier Web. Copyright Telefónica O2 Czech Republic, a.s. All rights reserved. 1/10

Microcat Authorisation Server (MAS ) Uživatelská příručka

Granit 1981i. Stručný návod k použití. Průmyslový bezdrátový skener. Crdlss-GRNT1981-CZ-QS Rev A 1/15

BEZDRÁTOVÁ BLUETOOTH STEREO SLUCHÁTKA S FUNKCÍ HEADSETU. Návod k obsluze. Model: AF80

Konsolidace na privátní cloud

UMS1B. Sériový modul USB. Uživatelská příručka

Brno. 30. května 2014

<Insert Picture Here> Oracle Exadata Database Machine koncept úspěšně ověřen pokračujeme

Tomáš Borland Valenta

BEZDRÁTOVÝ TERMOSTAT SARV105

Vypsání závodu / Notice of Race strana/page 1/5. Compotech Cup. v lodních třídách / in classes. D-One, 7P CTL

SenseLab. z / from CeMaS. Otevřené sledování senzorů, ovládání zařízení, nahrávání a přehrávání ve Vaší laboratoři

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Data v NetBezpečí Symantec NetBackup Appliance

Bezpečnost IT - od technologie k procesům

Jabra ARROW. User manual. jabra

Průvodce rychlým nastavením

Série Voyager 1400g. Stručný návod k použití. Kabelový skener. VG1400-CZ-QS Rev A 10/12

USB PARALLEL PRINTER ADAPTER

Xenon XP 1950g. Stručný návod k použití. Kabelový plošný skener CZ-QS-01 Rev A 07/19

EY Procurement Survey Procurement Forum 2014

Granit 1280i. Stručný návod k použití. Industrial Full Range Laser Scanner CZ-QS Rev A 1/14

Bezpečnosť v databáze Oracle

LINUX ADRESÁŘOVÁ STRUKTURA. Co to, hrome, je? V této lekci se budeme brouzdat adresáři. SPŠ Teplice - 3.V

Řízení privilegovaný účtů

Transkript:

AppArmor Co to je, k čemu slouží a jak jej používat. Zdeněk Kubala Senior QA Engineer zkubala@suse.com @n1djz88

Co to AppArmor je a obecné informace

Co to je AppArmor? Wiki definice AppArmor je rozšíření jádra Linuxu o mandatorní řízení přístupu sloužící ke zvýšení počítačové bezpečnosti. AppArmor umožňuje definovat oprávnění k provedení určité operace na úrovni jednotlivých procesů v závislosti na umístění spustitelného souboru tím, že na kritická místa jádra umisťuje volání svých kontrolních rutin. Tím dochází ke zvýšení režie systému, avšak je možné zabránit programu, aby provedl potenciálně nebezpečnou akci, která může vést k narušení bezpečnosti (včetně elevace oprávnění).

Obecné informace open source LSM v linuxovém jádře od verze 2.6.36 (Říjen 2010) proaktivní ochrana systému a aplikací (interní, externí a dokonce i zero-day útoky) uplatňování politik(soubor pravidel) se provádí přes profily, které definují jaká má aplikace oprávnění (přístupy k adresářům, socketům či síťi) nejpoužívanější profily jsou obsažené v distribučních kanálech

K čemu slouží a proč jej používat?

K čemu slouží a proč jej používat? přidává další vrstvu zabezpečení a tím snižuje riziko kompromitace systému, tlumí dopady úspěšného průniku ochrana systému před zdivočelými aplikacemi je možné měnit profily za běhu systému lze zjistit, co "dělají" neznámé aplikace, pustíme-li je v "bezpečném módu"

Kde AppArmor najdeme?

Kde AppArmor najdeme? lze nalézt v různých distribucích Debian Gentoo (open)suse Ubuntu nejen RPM balíčky a nejen pro (open)suse lze nalézt/vytvořit na opensuse Build Service [https://build.opensuse.org/] nebo na Launchpad.net [https://launchpad.net/apparmor/]

Rozdíly mezi AppArmor a SELinux

Rozdíly mezi AppArmor a SELinux Pro někoho může být práce s SELinux politikami obtížnější - větší komplexita Apparmor je součástí výchozí instalace např. v distribucích (open)suse nebo Ubuntu. SELinux Redhat či CentOS AppArmor pracuje s cestami, SELinux se štítky(labels) a inodami AppArmor hledí na aplikace, SELinux na systém jako celek

Komponenty a nástroje AppArmor

Komponenty AppArmor kernelový modul parser ovládací utilitky

Jak to funguje?

Jak to funguje? AppArmor načte při startu modul a dostupné profily z /etc/apparmor.d profily se roztřídí dle módu, do kterého patří disabled complain(learning) enforce(confined) implicitní politika AppArmor zakazující s "*whitelistem* povolujicí s "*blacklistem*"

Určení módu - příklad z hlavičky profilu complain /usr/lib/colord flags=(attach_disconnected,complain) adresář pro profily v módu disable /etc/apparmor.d/disable

Jak AppArmor začít používat?

Instalace na open(suse) při standardní instalaci jsou AppArmor balíčky automaticky nainstalovány manuální instalace - názvy balíčků libapparmor apparmor-profiles apparmor-utils apparmor-parser yast2-apparmor apparmor-docs

Kontrola, zda AppArmor běží `systemctl status apparmor.service` `aa-status` `ps axuwz head`

Jak AppArmor ovládat?

Jak AppArmor ovládat? `aa-status` `aa-complain` `aa-enforce` `aa-disable` `apparmor_parser` `aa-autodep` `aa-logprof`

Logování

Logovaní log operací se nachází ve /var/log/audit/audit.log výchozí logování DENIED operací logují se typy DENIED ALLOWED STATUS logují se operace mkdir profile_load profile_remove profile_replace

Bonus: soubor(profil) AppArmor politiky

Bonus: soubor(profil) AppArmor politiky konvence pojmenování profilu, avšak nemusí být vždy dodržována `usr.bin.firefox` interpretuje profil /usr/bin/firefox příklad souboru politiky ` ` /tmp/ls flags=(complain) { # executable needs 'r' and mmap PROT_EXEC 'm' /tmp/ls rm, /lib/ld-2.5.so rmix, /etc/ld.so.cache rm, /lib/lib*.so* rm, /dev/pts/* w, /proc/meminfo r, /var/run/nscd/socket w, /var/run/nscd/passwd r, /var/run/nscd/group r, /tmp/ r, }

Bonus: práce s politikami(ukázka)

Bonus: práce s politikami(ukázka) přepnout profil(proces) do módu complain přepnout profil(proces) do módu enforce zakázat profil(procesu) - aplikace je nespoutaná

Bonus: snadné vytvoření profilu

Bonus: snadné vytvoření profilu Vytvořím si program test_bash.sh ` #!/bin/bash echo "Toto je testovací prográmek apparmoru." echo "Nacházím se v adresaři: " pwd echo "A jsou zde soubory: " ls -l `pwd` echo "Zmenim si práva: " chmod u+x /root/test_bash.sh echo "A toto se nachazi v /etc: " ls -l /etc/ head -4 ` pustím `aa-autodep /root/test_bash.sh` zkontroluji profil `vim /etc/apparmor.d/root.test_bash.sh ` pustim aplikaci s profilem v módu "complain" zkontroluji log, zda-li tam není něco podezřelého a případně přidám do profilu prepnu do enforce `aa-enforce root.test_bash.sh`

Co AppArmor nedělá a jaké jsou nevýhody?

Co AppArmor nedělá a jaké jsou nevýhody? nevyvenčí za Vás psa :) nejedná se o 100% ochranu proti všem útokům není možné naráz používat AppArmor a SELinux nebo jinou alternativu konverze mezi AppArmor profily a SELinux politikami aktuálně není možná absence kvalitního grafického rozhraní úprava profilů probíhá ex-post z počátku může být obtížnější vytváření/administrace profilů

Otázky? Zdroje: http://wiki.ubuntu.cz/bezpe%c4%8dnost/apparmor?redirect=1 https://cs.wikipedia.org/wiki/apparmor https://en.wikipedia.org/wiki/apparmor http://wiki.apparmor.net/index.php/main_page https://en.opensuse.org/sdb:apparmor Zdeněk Kubala Senior QA Engineer zkubala@suse.com @n1djz88

Děkuji za pozornost Zdeněk Kubala Senior QA Engineer zkubala@suse.com @n1djz88 Join Us at www.opensuse.org

License This slide deck is licensed under the Creative Commons Attribution-ShareAlike 4.0 International license. It can be shared and adapted for any purpose (even commercially) as long as Attribution is given and any derivative work is distributed under the same license. Details can be found at https://creativecommons.org/licenses/by-sa/4.0/ General Disclaimer This document is not to be construed as a promise by any participating organisation to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. opensuse makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for opensuse products remains at the sole discretion of opensuse. Further, opensuse reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All opensuse marks referenced in this presentation are trademarks or registered trademarks of SUSE LLC, in the United States and other countries. All third-party trademarks are the property of their respective owners. Credits Template Richard Brown rbrown@opensuse.org Design & Inspiration opensuse Design Team http://opensuse.github.io/brandingguidelines/