openSUSE ドキュメンテーションセキュリティガイド > AppArmor を利用した権利制限 >

第26章 プロファイルを作成したアプリケーションの管理

目次

26.1. セキュリティ拒否イベントへの対応
26.2. セキュリティプロファイルの管理

プロファイルを作成してアプリケーションに免疫を付与したら、 AppArmor® の プロファイル管理 (これにはログファイルの分析のほか、プロファイルの更新や プロファイル群のバックアップが含まれます) を行なうことで、お使いの openSUSE® がより効果的かつ適切に保護される ようになります。また、電子メールによるイベント通知を設定し、定期的なレポート 作成を行なったあと、 YaST 経由で aa-logprof ツールを起動してシステムログ 項目からプロファイルの更新を行ない、メンテナンス上の問題に対策を打つことで、 それらが大きな問題となる前に対策を打つこともできます。

26.1. セキュリティ拒否イベントへの対応

セキュリティ拒否イベントを受け取った場合は、アクセス違反の詳細を調査し、 攻撃など予期せぬものであるのか、それともアプリケーションが通常どおりに 動作した結果であるのかを判別する必要があります。この判断を行なうには、 アプリケーション固有の知識が必要となります。もしも拒否動作が通常の アプリケーションの動作に由来するものであった場合は、コマンドラインから aa-logprof を実行するか、もしくは AppArmor の プロファイルの更新ウイザード を利用して、 プロファイルを更新してください。

もしも拒否動作がアプリケーションの通常動作に由来するものでないと判断 される場合は、そのアクセスはシステムへの不正侵入をしようとしたもの (ただし 侵入は阻止されています) であると言えます。そのため、この通知をご利用の 環境におけるセキュリティ責任者に転送する必要があります。

26.2. セキュリティプロファイルの管理

本番の環境では、配置されているすべてのアプリケーションに対するプロファイル について、これらを管理することを検討すべきです。また、プロファイルなどの セキュリティポリシーは、お使いの環境で必要不可欠なものであるため、バック アップの採取やその復元、ソフトウエアの変更やそれに伴うセキュリティポリシー の修正を計画する必要があります。

26.2.1. セキュリティプロファイルのバックアップ

プロファイルのバックアップを行なうことで、ディスクがクラッシュした場合でも プロファイルをやり直す必要が無くなります。また、プロファイルを変更した場合も、 バックアップされたプロファイルから元のプロファイルに戻すことができます。

プロファイルのバックアップは、単純にプロファイルのファイルを指定した ディレクトリにコピーすることで行ないます。

  1. まずはプロファイルを単一の書庫ファイルにまとめます。これを行なうには、 root で端末ウインドウを開き、下記のコマンドを入力します: 

    tar zclpf profiles.tgz /etc/apparmor.d

    お使いのセキュリティポリシーのファイルを定期的にバックアップするのに もっとも簡単な方法は、 /etc/apparmor.d ディレクトリ を指定してすべてのファイルを書庫にまとめることです。

  2. scp や Konqueror または Nautilus のようなファイル マネージャを利用し、ストレージメディアやネットワーク、もしくは 他のコンピュータなどにファイルを保存すれば作業は完了です。

26.2.2. セキュリティプロファイルの変更

セキュリティプロファイルの修正や変更は、お使いのシステムでアプリケーション に対するセキュリティを変更したい場合に行ないます。 AppArmor でプロファイルを 修正する方法については、 22.3項 「プロファイルの編集」 をお読みください。

26.2.3. お使いの環境に対するソフトウエアの導入

アプリケーションの新バージョンをインストールした場合や、お使いのシステムに 修正をインストールした場合は、必要に応じてプロファイルを更新する必要が あります。この更新作業にはいくつかの選択肢が存在し、それらはお使いの 環境におけるソフトウエア配置ポリシーによって決まります。また、修正や アップグレードはテスト環境に配置してから本番の環境に配置することも できます。下記では、それぞれのやり方について説明しています。

テスト環境に修正やアップグレードを配置したい場合、プロファイルの更新は 下記のいずれかの方法で実施するのが最適です:

  • YaST から AppArmor プロファイルウイザード を選択し、 プロファイル作成を行なう方法。この方法では、追加されたアプリケーションや 修正を適用したアプリケーションに対して、新しいプロファイルを作成すること ができます。詳しい手順については 22.1項 「ウイザードを使用したプロファイルの追加」 をお読みください。

  • root で端末ウインドウを開き、 aa-genprof と 入力して aa-genprof を実行する方法。詳しい手順については、 23.6.3.4項 「aa-genprof—プロファイルの生成」 をお読みください。

修正やアップグレードを本番環境に直接インストールしたい場合、プロファイルの 更新は下記のいずれかの方法で実施するのが最適です:

  • プロファイルに追加すべき新しい拒否事例が存在しないかどうか、システムを 頻繁に確認し、必要であれば aa-logprof を実行して更新する方法。詳しい手順に ついては、 23.6.3.5項 「aa-logprof—システムログのスキャン」 をお読みください。

  • YaST の プロファイルの更新ウイザード を実行し、 新しい動作を学習させる方法 (すべてのアクセスが許可され記録される仕組みで あるため、リスクの高い方法です) 。詳しい手順については、 22.5項 「ログ項目からのプロファイル更新」 をお読みください。

openSUSE セキュリティガイド 13.1

openSUSE ドキュメンテーションセキュリティガイド > AppArmor を利用した権利制限 >