37 从命令行构建配置文件 #

此工具可为所选的程序或应用程序创建草拟配置文件。您可以为二进制可执行文件和已解释的脚本程序生成草拟配置文件。生成的配置文件之所以称为“草拟配置文件”，是因为它不一定包含 AppArmor 正确限制程序所需的所有配置文件项。最小的 aa-autodep 草拟配置文件至少具备基础的 include 指令，它包含大多数程序都需要的基本配置文件项。对于某些类型的程序，aa-autodep 会生成更扩展的配置文件。配置文件的生成方式是在命令行上列出的可执行文件上以递归方式调用 ldd(1)。

要生成草拟配置文件，请使用 aa-autodep 程序。程序参数可以是程序的简单名称（aa-autodep 通过搜索外壳的路径变量找到此名称），也可以是完全限定的路径。程序本身可以是任意类型（ELF 二进制文件、外壳脚本、Perl 脚本等）。aa-autodep 会生成一个草拟配置文件，后续的动态配置文件构建过程会对其进行改进。

生成的草拟配置文件将写入到 /etc/apparmor.d 目录，并使用 AppArmor 配置文件命名约定，即在程序绝对路径后面命名配置文件，同时将路径中的正斜线 (/) 字符替换为句点 (.) 字符。aa-autodep 的一般语法是在终端窗口中输入以下命令：

> sudo aa-autodep [ -d /PATH/TO/PROFILES ] [PROGRAM1 PROGRAM2...]

如果不输入程序名称，则计算机会提示您输入它（它们）。如果您将配置文件保存在非默认位置，/path/to/profiles 会覆盖 /etc/apparmor.d 的默认位置。

开始构建配置文件前，您必须为作为应用程序一部分的各个主可执行服务创建配置文件（它们启动后不会从属于其它已具备配置文件的程序）。此类程序的查找取决于相关的应用程序。以下是查找此类程序的一些策略：

控诉和学习模式工具 (aa-complain) 会检测对 AppArmor 配置文件规则的违规，例如构建了配置文件的程序访问配置文件不允许的其他文件。冲突是允许的，但也会被记录。要改进配置文件，请开启控诉模式，对程序运行一套测试以生成反映程序访问需求的日志事件，然后使用 AppArmor 工具对日志进行后处理，以将日志事件转换为改进的配置文件。

手动激活控诉模式（使用命令行）会在配置文件的顶部添加一个标志，因此 /bin/foo 将变成 /bin/foo flags=(complain)。要使用控诉模式，请打开一个终端窗口，然后以 root 身份输入以下命令：

上述每条命令都会激活所列配置文件或程序的控诉模式。如果程序名不包含其整个路径，则 aa-complain 会搜索程序的 $PATH。例如，aa-complain /usr/sbin/* 会查找与 /usr/sbin 中的所有程序关联的配置文件，并将其置于控诉模式。aa-complain /etc/apparmor.d/* 将 /etc/apparmor.d 中的所有配置文件置于控诉模式。

提示：使用 YaST 切换配置文件模式

YaST 提供了一个用于切换控诉模式和强制模式的图形前端。有关信息，请参见 第 36.4.2 节 “更改单个配置文件的模式”。

aa-decode 解码 AppArmor 日志输出中的十六进制编码字符串。它还可以处理有关标准输入的审计日志，转换任何十六进制编码的 AppArmor 日志项，并在标准输出中显示这些项。

使用 aa-disable 可以禁用一个或多个 AppArmor 配置文件的强制模式。此命令将从内核中卸载配置文件，并防止在 AppArmor 启动时加载该配置文件。可以使用 aa-enforce 或 aa-complain 实用程序更改此行为。

aa-easyprof 提供了易用的界面来生成 AppArmor 配置文件。aa-easyprof 支持使用模板和配置文件组来快速构建应用程序的配置文件。尽管 aa-easyprof 有助于生成配置文件，但其实用程序依赖于所用模板、配置文件组和抽象的质量。此外，此工具在创建配置文件方面的限制比手动或使用 aa-genprof 和 aa-logprof 创建配置文件要少一些。

有关详细信息，请参见 aa-easyprof (8) 的手册页。

强制模式会检测对 AppArmor 配置文件规则的违规，例如构建了配置文件的程序访问配置文件不允许的文件。违规会被记录下来，并且不会允许此类事件。默认会启用强制模式。如要记录违规但仍允许此类事件，请使用控诉模式。

手动激活强制模式（使用命令行）会去除配置文件顶部的 complain 标志，使 /bin/foo flags=(complain) 变成 /bin/foo。要使用强制模式，请打开一个终端窗口，然后输入以下命令。

上述命令会激活所列配置文件和程序的强制模式。

如果不输入程序或配置文件的名称，则计算机会提示您输入名称。/path/to/profiles 覆盖 /etc/apparmor.d 的默认位置。

参数可以是一个程序列表或一个配置文件列表。如果程序名不包含其整个路径，则 aa-enforce 会搜索程序的 $PATH。

提示：使用 YaST 切换配置文件模式

YaST 提供了一个用于切换控诉模式和强制模式的图形前端。有关信息，请参见 第 36.4.2 节 “更改单个配置文件的模式”。

使用 aa-exec 可以启动指定的配置文件和/或配置文件名称空间所限制的程序。如果同时指定了配置文件和名称空间，程序将受到新名称空间中的配置文件限制。如果指定了配置文件名称空间，将使用当前限制的配置文件名称。如果配置文件和名称空间均未指定，将使用标准的配置文件附件运行命令 — 如同未使用 aa-exec 命令一样。

有关该命令的选项的详细信息，请参见该命令的手册页 man 8 aa-exec。

aa-genprof 是用于生成 AppArmor 配置文件的实用程序。它可以对指定的程序运行 aa-autodep 以创建草拟配置文件（如果此程序尚不存在配置文件）、将其设置为控诉模式、将其重新加载到 AppArmor、标记日志、提示用户执行程序以及运用其功能。其语法如下所示：

> sudo aa-genprof [ -d /path/to/profiles ]  PROGRAM

要为 Apache Web 服务器程序 httpd2-prefork 创建配置文件，请以 root 身份执行以下操作：

与用于构建 AppArmor 配置文件的图形前端一样，YaST 添加配置文件向导 aa-genprof 也支持使用 /usr/share/apparmor/extra-profiles 下的本地配置文件储存库。

要使用本地储存库中的配置文件，请按如下所示继续操作：

aa-logprof 是一个交互式工具，用于查看 /var/log/audit/audit.log 内各日志项中的控诉和强制模式事件，或直接查看 systemd 日记中的此类事件（请参见第 21 章 “journalctl：查询 systemd 日记”），以及在 AppArmor 安全配置文件中生成新的项。

运行 aa-logprof 后，它会开始扫描在控诉和强制模式下生成的日志文件，如果存在现有配置文件集未涵盖的新安全事件，它会给出修改配置文件的建议。aa-logprof 使用此信息来观察程序行为。

如果某个受限制的程序派生并执行另一个程序，aa-logprof 会注意到这种情况，并会询问用户在启动子进程时应使用哪种执行模式。执行模式 ix、px、Px、ux、Ux、cx、Cx 及指定的配置文件均为用于启动子进程的选项。如果子进程具有单独的配置文件，则默认选择为 Px。如果不存在单独的配置文件，则默认为 ix。系统会对有单独配置文件的子进程运行 aa-autodep，并将其加载到 AppArmor 中（如果它正在运行）。

aa-logprof 退出时，配置文件将由所做的更改更新。如果 AppArmor 处于活动状态，将重新加载更新的配置文件；如有任何生成安全事件的进程仍在 null-XXXX 配置文件（在控诉模式下临时创建的独有配置文件）中运行，这些进程将设置为基于其适当配置文件运行。

要运行 aa-logprof，请以 root 身份登录并在终端窗口中输入 aa-logprof。以下选项可用于 aa-logprof：

aa-logprof 将扫描日志，询问您如何处理记录的每个事件。每个问题都会显示一个带有编号的 AppArmor 规则列表，按列表中项目的编号可以添加相应规则。

默认情况下，aa-logprof 将在 /etc/apparmor.d/ 中查找配置文件。以 root 身份运行 aa-logprof 往往便足以更新配置文件。不过，您有时可能需要搜索存档的日志文件，例如当程序的执行时间段超过日志轮换期时（日志文件已存档，新的日志文件已开始时）。如果是这样，您可以输入 zcat -f `ls -1tr /path/to/logfile*` | aa-logprof -f -。

以下示例说明 aa-logprof 如何处理访问 /etc/group 文件的 httpd2-prefork。[] 表示默认选项。

在本示例中，对 /etc/group 的访问是 httpd2-prefork 访问名称服务的一部分。相应的响应是 1，它包括预定义的 AppArmor 规则集。选择 1 #include，名称服务软件包会解析与 DNS 查找相关的所有问题，同时使配置文件更不容易损坏，这样对 DNS 配置和关联名称服务配置文件软件包的更改可一次完成，而无需修改许多配置文件。

Profile:  /usr/sbin/httpd2-prefork
Path:     /etc/group
New Mode: r

[1 - #include <abstractions/nameservice>]
 2 - /etc/group
[(A)llow] / (D)eny / (N)ew / (G)lob / Glob w/(E)xt / Abo(r)t / (F)inish

请选择以下响应之一：

例如，在为 vsftpd 构建配置文件时，会看到以下问题：

Profile:  /usr/sbin/vsftpd
Path:     /y2k.jpg

New Mode: r

[1 - /y2k.jpg]

(A)llow / [(D)eny] / (N)ew / (G)lob / Glob w/(E)xt / Abo(r)t / (F)inish

此问题中出现了几个要注意的项目。首先，vsftpd 询问树顶的路径项，即便默认情况下 SUSE Linux Enterprise Server 上的 vsftpd 是从 /srv/ftp 提供 FTP 文件。这是因为 vsftpd 使用的是 chroot，对于 chroot jail 内部的代码部分，AppArmor 看到的是对 chroot 环境（而非全局绝对路径）的文件访问。

第二个要注意的事项是，您应该授予对该目录中所有 JPEG 文件的 FTP 读取权限，以便可以使用保留扩展名的通配并使用建议的路径 /*.jpg。这样做会打破前面授予对单个 .jpg 文件的访问权限的所有规则，并会阻止以后发生任何与访问 .jpg 文件有关的问题。

最后，您应该授予对 FTP 文件的更广泛的访问权限。如果在最后一项中选择通配，aa-logprof 会将建议的路径 /y2k.jpg 替换为 /*。此外，您应该授予对整个目录树的更多访问权限，在这种情况下，可以使用新建路径选项并输入 /**.jpg（这会授予对整个目录树中所有 .jpg 文件的访问权限）或 /**（这会授予对目录树中所有文件的访问权限）。

这些项会处理读取访问权限。写权限与此类似，不同的是您在使用写权限的常规表达式时最好更加保守。处理执行权限较为复杂。例 37.1 “学习模式例外：控制对特定资源的访问”中提供了相应示例。

在以下示例中，将为 /usr/bin/mail 邮件客户端构建配置文件，aa-logprof 发现 /usr/bin/mail 以助手应用程序的形式执行了 /usr/bin/less，以便将长邮件消息“分页”。结果会显示以下提示：

/usr/bin/nail -> /usr/bin/less
(I)nherit / (P)rofile / (C)hild / (N)ame / (U)nconfined / (X)ix / (D)eny

注意

/usr/bin/mail 的实际可执行文件是 /usr/bin/nail，这并非拼写错误。

/usr/bin/less 看上去是个简单的程序，用于在长度超过一屏的文本之间滚动，这就是 /usr/bin/mail 使用它的原因。但 less 实际上是一个功能强大的大型程序，使用了许多其他助手应用程序，例如 tar 和 rpm。

提示

对 tar 文件或 RPM 文件运行 less，它即会显示这些容器的库存。

您不希望阅读邮件时自动运行 rpm（这会直接导致 Microsoft* Outlook 样式的病毒攻击，因为 RPM 具有安装和修改系统程序的能力），因此这种情况下的最佳选择为使用继承。这会使在本文中执行的 less 程序运行于 /usr/bin/mail 的配置文件之下。这会产生两种结果：

在其它情况下，您可能想要使用配置文件选项。这会对 aa-logprof 产生以下影响：

如果某个受限制的程序派生并执行另一个程序，aa-logprof 会注意到这种情况，并会询问用户在启动子进程时应使用哪种执行模式。执行模式“继承”、“配置文件”、“未受限”、“子项”、“指定的配置文件”，或用于拒绝执行的选项将会显示。

如果子进程具有单独的配置文件，则默认选择为“配置文件”。如果不存在配置文件，则默认选择为“继承”。第 34.7 节 “文件权限访问模式”中介绍了继承选项 (ix)。

该配置文件选项指示子程序应在其自己的配置文件中运行。一个从属问题会询问是否要清理子程序从父项继承的环境。如果您选择清理环境，AppArmor 配置文件中将会添加执行修饰符 Px。如果您选择不清理，配置文件中将会添加 px，这样就不会进行环境清理。如果您选择配置文件执行模式，默认的执行模式为 Px。

不建议使用未受限执行模式，应在没有任何其他选项能够可靠地生成程序的配置文件时，才使用该模式。选择未受限模式会打开一个警告对话框，要求您确认该选择。如果您确认并选择是，另一个对话框将会打开，询问是否要清理环境。要在配置文件中使用执行模式 Ux，请选择是。要在配置文件中改用执行模式 ux，请选择否。默认选择的值为 Ux（表示未受限执行模式）。

重要：未受限运行

选择 ux or Ux 会造成很大的风险，它不会对子程序的最终执行行为强制执行策略（从安全角度而言）。

aa-unconfined 命令会检查系统上的开放网络端口，将其与系统上加载的配置文件集进行比较，并报告不具备 AppArmor 配置文件的网络服务。它需要未被 rootAppArmor 配置文件限制的 特权。

要从 /proc 文件系统中检索进程可执行链接，就必须以 root 身份运行 aa-unconfined。此程序易受以下竞态条件的影响：

注意

此程序会列出使用 TCP 和 UDP 的进程。简而言之，此程序不适用于取证，仅可用于在实验室中辅助构建所有可访问网络的进程的配置文件。

aa-notify 是一个便利的实用程序，它可在桌面环境中显示 AppArmor 通知。如果您不想检查 AppArmor 日志文件，而仅希望桌面告知您违反策略的事件，此实用程序会非常便捷。要启用 AppArmor 桌面通知，请运行 aa-notify：

> sudo aa-notify -p -u USERNAME --display DISPLAY_NUMBER

其中，USERNAME 是您登录时使用的用户名，DISPLAY_NUMBER 是您当前使用的 X Window 显示编号，例如 :0。该进程在后台运行，每当发生拒绝事件时，就会显示通知。

提示

活动的 X Window 显示编号保存在 $DISPLAY 变量中，因此，您可以使用 --display $DISPLAY 来避免查找当前显示编号。

图 37.1︰ aa-notify Message in GNOME #

 

您还可以使用 -s DAYS 选项配置 aa-notify，以显示指定的过去几天的通知摘要。有关 aa-notify 的详细信息，请参见其手册页 man 8 aa-notify。

vim 文本编辑器的语法高亮显示文件会用颜色高亮显示 AppArmor 配置文件的各种功能。利用 vim 和 vim 的 AppArmor 语法模式，您可以看到用颜色高亮显示的配置文件的语义含意。要使用 vim 来查看和编辑配置文件，请在终端窗口中输入 vim。

在 vim 中编辑 AppArmor 配置文件时，如要启用语法颜色标记，请使用 :syntax on 命令，然后使用 :set syntax=apparmor 命令。为确保 vim 将编辑的文件类型正确识别为 AppArmor 配置文件，请将

# vim:ft=apparmor

添加到配置文件的末尾。

提示

vim 对 /etc/apparmor.d/ 中的文件自动启用了 AppArmor 突出显示。

启用此功能时，vim 会对配置文件的行上色：

要获取有关语法突出显示的更多 vim 帮助，请使用 apparmor.vim 和 vim 手册页，以及在 vim 编辑器内使用 :help syntax。AppArmor 语法存储在 /usr/share/vim/current/syntax/apparmor.vim. 中