Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. 2 コモンクライテリア (Common Criteria)
  4. I 認証
    1. 3 PAM を利用した認証
    2. 4 NIS の使用
    3. 5 YaST を利用した認証クライアントの設定
    4. 6 389 LDAP ディレクトリサービス
    5. 7 Kerberos を利用したネットワーク認証
    6. 8 Active Directory サポート
    7. 9 FreeRADIUS サーバの構築
  5. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 seccheck を利用した自動的なセキュリティチェック
    3. 12 ソフトウエア管理
    4. 13 ファイルの管理
    5. 14 パーティションやファイルの暗号化
    6. 15 cryptctl を利用したアプリケーション向けのストレージ暗号化
    7. 16 ユーザ管理
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 PolKit による認可制御
    11. 20 Linux でのアクセス制御リスト
    12. 21 証明書ストア
    13. 22 AIDE を利用した侵入検知
  6. III ネットワークセキュリティ
    1. 23 X Window System と X 認証
    2. 24 SSH: 機密を保持するネットワーク操作
    3. 25 マスカレードとファイアウオール
    4. 26 VPN サーバの設定
    5. 27 X Window System で動作する PKI マネージャ XCA による管理
  7. IV AppArmor による権限の制限
    1. 28 AppArmor の紹介
    2. 29 入門
    3. 30 プログラムに対する予防接種
    4. 31 プロファイルのコンポーネントと文法
    5. 32 AppArmor のプロファイルリポジトリ
    6. 33 YaST を利用したプロファイルの構築と管理
    7. 34 コマンドラインからのプロファイル構築
    8. 35 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 36 pam_apparmor によるユーザの制限
    10. 37 プロファイルを作成したアプリケーションの管理
    11. 38 サポート
    12. 39 AppArmor 用語集
  8. V SELinux
    1. 40 SELinux の設定
  9. VI Linux 監査フレームワーク
    1. 41 Linux 監査システムの概要
    2. 42 Linux 監査フレームワークの設定
    3. 43 監査ルールセットの紹介
    4. 44 その他の情報源
  10. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.2

パート IV AppArmor による権限の制限

28 AppArmor の紹介

信頼できる プログラムを実行していても、バグによって引き起こされる様々な脆弱性に直面します。信頼できるプログラムのうち、権限を利用して動作しているプログラムについては、攻撃者からも格好の標的となります。プログラム内に何らかのバグがあれば、攻撃者はそれを悪用して必要な権限を奪取しようとしますので、プログラムに対する信頼も損なわれることになります。

29 入門

お使いのシステムに AppArmor を問題なく配置するには、下記の項目について注意深く考慮する必要があります:

30 プログラムに対する予防接種

コンピュータシステムのセキュリティを効率的に強化するには、まず権限を仲介するプログラムをできる限り少なくした後、それらのプログラムをできるだけ強く保護する流れで行います。 AppArmor は、お使いの環境下で攻撃にさらされるプログラムに対してプロファイルを作成するだけで保護が実現できる仕組みであることから、セキュリティを強化する際の手間を劇的に減らすことができます。 AppArmor ではポリシーの仕組みによって、プログラムが想定通りの動作のみを実行するよう強制することができます。

31 プロファイルのコンポーネントと文法

アプリケーションに対する AppArmor のプロファイル作成は非常にわかりやすく、直感的な仕組みになっています。 AppArmor にはプロファイル作成を支援するツールが添付されているため、プログラミングの知識もスクリプトの処理も必要とはなりません。管理者に対して求められる作業は、セキュリティを強化する目的で、各アプリケーションに対して最も厳格なアクセス制御とプログラム実行のポリシーを設定することだけです。

32 AppArmor のプロファイルリポジトリ

AppArmor には既定で有効化されているプロファイルセットが添付されています。これらは AppArmor の開発者が作成したもので、 /etc/apparmor.d 内に配置されます。これらのプロファイルに加えて、 openSUSE Leap ではアプリケーションごとの個別のプロファイルも用意されています。これらのプロファイルは既定では有効化されませんし、標準の AppArmor プロファイルとは異なる /usr/share/apparmor/extra-profiles というディレクトリ内に配置されます。

33 YaST を利用したプロファイルの構築と管理

YaST には AppArmor® のプロファイルを構築したり管理したりするための基本的な仕組みが 2 種類用意されています。一方はグラフィカルなもの、他方はテキストベースのものです。テキストベースの場合、メモリなどのリソースもネットワーク帯域も比較的少なくなるようになっていますので、リモートからの管理を行うような場合や、ローカルのグラフィック環境が貧弱な場合に最適です。グラフィカルなものとテキストベースのものは、外観が異なるものの、同じ機能を同じ手順で利用できるようになっています。また、 AppArmor のコマンドも用意されていて、このコマンドは端末ウインドウから AppArmor の制御…

34 コマンドラインからのプロファイル構築

AppArmor® には、システムのセキュリティを管理するにあたって、グラフィカルなインターフェイスだけでなく、コマンドラインインターフェイスも用意されています。 AppArmor のコマンドラインツールでは、 AppArmor の状態確認のほか、プロファイルの作成や削除、修正などを行うことができます。

35 チェンジハット機能による Web アプリケーションのプロファイル作成

AppArmor® のプロファイルは本来、個別のプログラムやプロセスに対するセキュリティポリシーを表わすものです。つまり、実行可能なプログラムに対してプロファイルを割り当てることになります。ところが、プログラムの一部では他の部分とは異なるアクセス許可が必要となることもあります。このような場合は、 チェンジハット の機能を利用して、メインのプログラムに対して適用されているものとは異なるセキュリティコンテキストを適用するように設定します。このような 異なるセキュリティコンテキスト のことを、 ハットサブプロファイル などと呼び、 これを変更する行為を チェンジハット と呼びます。

36 pam_apparmor によるユーザの制限

AppArmor のプロファイルは実行ファイルに対して適用されるもので、特定のプログラム内の機能が、ほかの箇所とは異なるアクセス許可を必要とする場合は、チェンジハットの機能を利用して、異なる役割であるハット (サブプロファイルとも呼ばれます) に切り替える処理を行います。 pam_apparmor という PAM モジュールでは、グループ名やユーザ名を基準にしたり、既定のプロファイルを適用したりして、認証済みのユーザを制限する機能を提供します。この機能を利用するには、 pam_apparmor を PAM のセッションモジュールとして登録する必要があります。

37 プロファイルを作成したアプリケーションの管理

AppArmor® でアプリケーションのプロファイルを作成して予防接種を実施し、プロファイルをメンテナンス (ログファイルの分析からプロファイルの更新、プロファイルのバックアップや最新状態への維持) を行うことで、 openSUSE® Leap は非常に効率的かつ堅牢なシステムにすることができます。また、電子メールへのイベント通知を設定し、 aa-logprof ツールを利用してログを調査し、プロファイルを更新することで、様々な問題が顕在化する前に対応を取ることができます。

38 サポート

本章では、メンテナンスに関連する作業を説明しています。 AppArmor® の更新方法のほか、 AppArmor が提供するコマンドラインツールを使用するための基礎情報となる、マニュアルページの一覧取得方法などを説明しています。また、トラブルシューティングの章では、 AppArmor で一般的に直面する様々な問題や、その解決方法を説明しています。このほか、 AppArmor に対する欠陥報告や機能拡張のリクエスト方法などについても、説明しています。

39 AppArmor 用語集
このページを印刷