Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. 2 コモンクライテリア (Common Criteria)
  4. I 認証
    1. 3 PAM を利用した認証
    2. 4 NIS の使用
    3. 5 YaST を利用した認証クライアントの設定
    4. 6 389 LDAP ディレクトリサービス
    5. 7 Kerberos を利用したネットワーク認証
    6. 8 Active Directory サポート
    7. 9 FreeRADIUS サーバの構築
  5. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 seccheck を利用した自動的なセキュリティチェック
    3. 12 ソフトウエア管理
    4. 13 ファイルの管理
    5. 14 パーティションやファイルの暗号化
    6. 15 cryptctl を利用したアプリケーション向けのストレージ暗号化
    7. 16 ユーザ管理
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 PolKit による認可制御
    11. 20 Linux でのアクセス制御リスト
    12. 21 証明書ストア
    13. 22 AIDE を利用した侵入検知
  6. III ネットワークセキュリティ
    1. 23 X Window System と X 認証
    2. 24 SSH: 機密を保持するネットワーク操作
    3. 25 マスカレードとファイアウオール
    4. 26 VPN サーバの設定
    5. 27 X Window System で動作する PKI マネージャ XCA による管理
  7. IV AppArmor による権限の制限
    1. 28 AppArmor の紹介
    2. 29 入門
    3. 30 プログラムに対する予防接種
    4. 31 プロファイルのコンポーネントと文法
    5. 32 AppArmor のプロファイルリポジトリ
    6. 33 YaST を利用したプロファイルの構築と管理
    7. 34 コマンドラインからのプロファイル構築
    8. 35 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 36 pam_apparmor によるユーザの制限
    10. 37 プロファイルを作成したアプリケーションの管理
    11. 38 サポート
    12. 39 AppArmor 用語集
  8. V SELinux
    1. 40 SELinux の設定
  9. VI Linux 監査フレームワーク
    1. 41 Linux 監査システムの概要
    2. 42 Linux 監査フレームワークの設定
    3. 43 監査ルールセットの紹介
    4. 44 その他の情報源
  10. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.2

37 プロファイルを作成したアプリケーションの管理

AppArmor® でアプリケーションのプロファイルを作成して予防接種を実施し、プロファイルをメンテナンス (ログファイルの分析からプロファイルの更新、プロファイルのバックアップや最新状態への維持) を行うことで、 openSUSE® Leap は非常に効率的かつ堅牢なシステムにすることができます。また、電子メールへのイベント通知を設定し、 aa-logprof ツールを利用してログを調査し、プロファイルを更新することで、様々な問題が顕在化する前に対応を取ることができます。

37.1 アクセス拒否イベントへの対応

何らかのアクセス拒否イベントが見つかった場合、まずはその内容がセキュリティ上の脅威によるものなのか、もしくは通常のアプリケーションの動作として発生したものなのかを判断します。この判断にあたっては、アプリケーション固有の知識が必要となります。もしもアクセス拒否イベントが通常のアプリケーション動作として発生したものであった場合は、コマンドラインで aa-logprof を実行してください。

アクセス拒否イベントが通常のアプリケーション動作では無いものである場合は、 AppArmor の仕組みで未然に防止することができたものの、それは悪意のある侵入である可能性があります。このような状況が発生した場合は、組織内のセキュリティ責任者に連絡を取って、対応を検討することをお勧めします。

37.2 セキュリティプロファイルの管理

本番環境においては、配置済みのすべてのアプリケーションに対して、プロファイルをメンテナンスするよう計画すべきです。セキュリティポリシーの策定と、それに伴うプロファイルの作成を、配置作業の一環として実施すべきです。また、セキュリティポリシーファイルのバックアップと復元のほか、お使いの環境でのソフトウエアの仕様変更の計画や、それに伴うセキュリティポリシーの修正についても、検討を行うべきです。

37.2.1 セキュリティプロファイルのバックアップ

プロファイルをバックアップしておくことで、ディスク障害が発生してもプログラムのプロファイルを作り直す必要が無くなります。また、プロファイルを変更した場合でも、バックアップから復元することで、容易に以前の状態に戻ることができます。

ポリシーのバックアップ作業は、特定のディレクトリ内にプロファイルをコピーするだけです。

  1. まずはプロファイルを 1 つのファイルにまとめます。これを行うには、端末ウインドウを開いて、 root になって下記を実行します:

    tux > sudo tar zclpf profiles.tgz /etc/apparmor.d

    また、システムを定期的にバックアップしている場合は、バックアップ対象のディレクトリに /etc/apparmor.d を追加しておくことで、お使いのバックアップ内にプロファイルを入れておくことができます。

  2. scp や Nautilus のようなファイルマネージャを使用することで、他のストレージメディアやネットワーク、その他のコンピュータなどにコピーすることもできます。

37.2.2 セキュリティプロファイルの変更

セキュリティプロファイルのメンテナンス作業には、アプリケーションに対するセキュリティを強めたり弱めたりして、システムを適切に保護する作業が含まれます。 AppArmor 内でプロファイルを変更する方法について、詳しくは 33.2項 「プロファイルの編集」 をお読みください。

37.2.3 お使いの環境に対する新規ソフトウエアの導入

システム内にインストールされているアプリケーションのバージョンを上げた場合や、修正を適用した場合、お使いの要件にあわせてプロファイルを更新する必要があります。更新方法にはいくつかのものがありますが、組織内の配置戦略にあわせて決定してください。また、テスト環境や本番環境に対して、修正やアップグレードを配置することもできます。以下では、これらそれぞれの方法について、どのようにすべきなのかについて説明しています。

テスト環境に修正やアップグレードを適用しようとしている場合は、端末を開いて root になり、 aa-logprof を実行してプロファイルを更新するのが最適な方法です。詳しい手順については 34.7.3.9項 「aa-logprof: システムログのスキャン」 をお読みください。

本番環境に直接修正やアップグレードを適用しようとしている場合は、 aa-logprof を利用してシステムを頻繁に監視し、プロファイルに更新すべき内容が無いかどうかを細かく調べて、必要であれば追加するのが最適な方法です。詳しい手順については 34.7.3.9項 「aa-logprof: システムログのスキャン」 をお読みください。

このページを印刷