Linux Server Security mit AppArmor

AppArmor ist ein leistungsstarkes Sicherheitsmodul des Linux-Kernels, das die Absicherung von Systemdiensten und Prozessen deutlich verbessert. Die Zugriffsrechte werden in sogenannten Profilen festgelegt. Ein Profil definiert präzise, welche Dateien, Verzeichnisse, Netzwerkverbindungen, Capabilities, Ausführungsregeln und Systemaufrufe (Syscalls) einer Anwendung erlaubt oder untersagt sind. Auf diese Weise lassen sich Anwendungen in streng kontrollierte Sicherheitskontexte kapseln. Da Standardprofile nicht alle individuellen Anforderungen abdecken, zählt das Erstellen und Anpassen eigener Profile zu den zentralen Aufgaben bei der Systemhärtung.

Technisch basiert AppArmor auf einem Mandatory Access Control-System (MAC), das die LSM-Schnittstelle (Linux Security Modules) des Kernels nutzt. Viele Sicherheitsstandards und Zertifizierungen verlangen, dass ein gehärtetes Linux-System neben dem klassischen Discretionary Access Control (DAC) zusätzlich durch ein MAC-System geschützt wird. Nur so ist sichergestellt, dass selbst privilegierte Prozesse – einschließlich Root – ausschließlich klar definierte Aktionen ausführen dürfen. Darüber hinaus schützt ein MAC-System vor unerwartetem Verhalten von Anwendungen und bietet oft auch Schutz vor bislang unbekannten Sicherheitslücken.

Aufgrund dieser Vorteile ist AppArmor in mehreren großen Linux-Distributionen – darunter SUSE Linux Enterprise, openSUSE, Ubuntu und Debian – bereits standardmäßig nach der Installation aktiviert.

Kursinhalte

• Überblick Linux Access Control Systeme
  • Discretionary Access Control (DAC) System
  • Mandatory Access Control (MAC) System
  • Multi Level Security (MLS) System
  • Role Based Access Control (RBAC) System
  • Schwachstellen von DAC geschützten Systemen
  • Vorteile von MAC geschützten Systemen
• Linux Kernel Security Modules (LSM) Framework
  
  • Arbeitsweise des LSM-Hooks
  • Überblick Major und Minor LSM Module (SELinux, AppArmor, BPF, Capabilities, ...)
  • Auswahl der gewünschten LSM-Module beim Systemstart
• Überblick Mandatory Access Control (MAC) Systeme
  
  • Vorteile eines Mandatory Access Control Systems
  • LSM - Multi-Level Security (MLS)
  • LSM - Multi-Category Security (MCS)
  • LSM - Linux Capabilities (CAP_*)
  • Funktionsunterschiede der MAC Systeme SELinux und AppArmor
• Linux Capabilities (CAP_*)
  
  • Prozesse und ihre Capabilities Bitmaps (Einstellungen)
  • Aufgaben der ~20 wichtigsten Linux Capabilities
  • Verwalten der Capabilities (setcap, getcap, pscap, netcap, pam_cap ...)
• Grundlagen von AppArmor
  • Funktionsweise und Architektur von AppArmor
  • Konfigurationsdateien /etc/apparmor/*.conf, /etc/apparmor.d/, ${HOME}/.apparmor/
  • Verwaltungswerkzeuge (Yast, Kommandozeile, aa-*, apparmor-*)
• Profile Status
  • Profil und Prozess Status mit aa-status auswerten
  • Profil Bezeichnungen (Naming vs. Attachement Specification)
  • Profile Modi (enforce, complain, audit) im Detail
  • Wechseln zwischen den verschiedenen Profil Modi
• Erstellen von eigenen AppArmor Profilen mit aa-genprof
  • Shell Skript mit unterschiedlichen Lese und Schreibzugriffen
  • Backup Skript mit Einschränkungen
  • Standardprogramme wie nmap, ...
  • Netzwerkdienste wie SSHD, Apache
  • Implementieren und Überarbeiten von Profilen aus dem extra-profiles Paket
  • Finden und absichern von unconfined Prozessen
• Erstellen von Subprofiles (Hat)
  • Funktionsweise eines Webserver mit change_hat Funktionalität
  • Apache Modul mod_apparmor
  • AppArmor Hat Definition für PHP Applikationen
    • Datenbank Management Werkzeuge wie Adminer
    • Diagnostic Werkzeuge wie phpSysInfo
• AppArmor Richtliniensyntax im Detail
  • Aufbau eines Profiles
  • Include Varianten (abhängig von der AppArmor Version)
  • Aufbau der Profile abstractions und tunables
  • Zugriff auf Capabilities erlauben/blockieren
  • Pfadangaben und Globbing für Dateien und Verzeichnisse
  • Zugriffreche auf Dateien und Verzeichnisse (r, w, a, l, k, m)
  • Executerechte von Programmen (ux, Ux, px, Px, i, cx, Cx)
  • Laden von Child Profilen (subprofile, ^hat)
  • Regel Attribute (audit, owner, deny, ...)
• Troubleshooting von AppArmor Zugriffsproblemen
  • Analysieren von Zugriffsverletzungen mit dem Audit Framework 
  • Anpassen von Profilen mit aa-logprof 
  • Entladen und Laden von veränderten Profilen in den Kernel
  • Arbeiten mit dem apparmor_parser 

Empfohlene Vorkenntnisse

Diese Schulung richtet sich an alle Teilnehmer mit Administrationserfahrungen im Linux Bereich, wie sie in unserem Kurs "Linux 2 System Administration" vermittelt werden.

Details zu diesem Open Source Training

Den Kurstermin 19.12.25 - 19.12.25 buchen

Schritt 1:  Auswahl der Kursvariante (Classroom oder Live)
Schritt 2:  Angabe der Teilnehmer Daten

Kurspreis

EUR 845,00

Kursart

Classroom (Präsenztraining) Live (Videokonferenz)

Firmenname

UID

Bestellnummer

Bestellername

Aktionscode

Rechnungsadresse

PLZ

Ort

Land

Teilnehmername

Anrede

Herr Frau

Telefon

eMail

Anmerkung

AGB

Hiermit bestätige ich das ich die AGB gelesen und akzeptiert habe

1 Kursvariante

2 Anmeldedetails

Alternative Kursmöglichkeiten

Alternativer Kursort:
Dieses Thema kann auch als In-House Training oder Einzeltraining gebucht werden

Alternativer Termin:
Ab 3 Teilnehmern bieten wir Ihnen gerne einen auf Ihre Bedürfnisse abgestimmten Termin an

Weitere Termine zu diesem Kursthema