Linux Server Security mit AppArmor
AppArmor ist ein leistungsstarkes Sicherheitsmodul des Linux-Kernels, das die Absicherung von Systemdiensten und Prozessen deutlich verbessert. Die Zugriffsrechte werden in sogenannten Profilen festgelegt. Ein Profil definiert präzise, welche Dateien, Verzeichnisse, Netzwerkverbindungen, Capabilities, Ausführungsregeln und Systemaufrufe (Syscalls) einer Anwendung erlaubt oder untersagt sind. Auf diese Weise lassen sich Anwendungen in streng kontrollierte Sicherheitskontexte kapseln. Da Standardprofile nicht alle individuellen Anforderungen abdecken, zählt das Erstellen und Anpassen eigener Profile zu den zentralen Aufgaben bei der Systemhärtung.
Technisch basiert AppArmor auf einem Mandatory Access Control-System (MAC), das die LSM-Schnittstelle (Linux Security Modules) des Kernels nutzt. Viele Sicherheitsstandards und Zertifizierungen verlangen, dass ein gehärtetes Linux-System neben dem klassischen Discretionary Access Control (DAC) zusätzlich durch ein MAC-System geschützt wird. Nur so ist sichergestellt, dass selbst privilegierte Prozesse – einschließlich Root – ausschließlich klar definierte Aktionen ausführen dürfen. Darüber hinaus schützt ein MAC-System vor unerwartetem Verhalten von Anwendungen und bietet oft auch Schutz vor bislang unbekannten Sicherheitslücken.
Aufgrund dieser Vorteile ist AppArmor in mehreren großen Linux-Distributionen – darunter SUSE Linux Enterprise, openSUSE, Ubuntu und Debian – bereits standardmäßig nach der Installation aktiviert.
Kursinhalte
- Überblick Linux Access Control Systeme
- Discretionary Access Control (DAC) System
- Mandatory Access Control (MAC) System
- Multi Level Security (MLS) System
- Role Based Access Control (RBAC) System
- Schwachstellen von DAC geschützten Systemen
- Vorteile von MAC geschützten Systemen
- Linux Kernel Security Modules (LSM) Framework
- Arbeitsweise des LSM-Hooks
- Überblick Major und Minor LSM Module (SELinux, AppArmor, BPF, Capabilities, ...)
- Auswahl der gewünschten LSM-Module beim Systemstart
- Überblick Mandatory Access Control (MAC) Systeme
- Vorteile eines Mandatory Access Control Systems
- LSM - Multi-Level Security (MLS)
- LSM - Multi-Category Security (MCS)
- LSM - Linux Capabilities (CAP_*)
- Funktionsunterschiede der MAC Systeme SELinux und AppArmor
- Linux Capabilities (CAP_*)
- Prozesse und ihre Capabilities Bitmaps (Einstellungen)
- Aufgaben der ~20 wichtigsten Linux Capabilities
- Verwalten der Capabilities (setcap, getcap, pscap, netcap, pam_cap ...)
- Grundlagen von AppArmor
- Funktionsweise und Architektur von AppArmor
- Konfigurationsdateien /etc/apparmor/*.conf, /etc/apparmor.d/, ${HOME}/.apparmor/
- Verwaltungswerkzeuge (Yast, Kommandozeile, aa-*, apparmor-*)
- Profile Status
- Profil und Prozess Status mit aa-status auswerten
- Profil Bezeichnungen (Naming vs. Attachement Specification)
- Profile Modi (enforce, complain, audit) im Detail
- Wechseln zwischen den verschiedenen Profil Modi
- Erstellen von eigenen AppArmor Profilen mit aa-genprof
- Shell Skript mit unterschiedlichen Lese und Schreibzugriffen
- Backup Skript mit Einschränkungen
- Standardprogramme wie nmap, ...
- Netzwerkdienste wie SSHD, Apache
- Implementieren und Überarbeiten von Profilen aus dem extra-profiles Paket
- Finden und absichern von unconfined Prozessen
- Erstellen von Subprofiles (Hat)
- Funktionsweise eines Webserver mit change_hat Funktionalität
- Apache Modul mod_apparmor
- AppArmor Hat Definition für PHP Applikationen
- Datenbank Management Werkzeuge wie Adminer
- Diagnostic Werkzeuge wie phpSysInfo
- AppArmor Richtliniensyntax im Detail
- Aufbau eines Profiles
- Include Varianten (abhängig von der AppArmor Version)
- Aufbau der Profile abstractions und tunables
- Zugriff auf Capabilities erlauben/blockieren
- Pfadangaben und Globbing für Dateien und Verzeichnisse
- Zugriffreche auf Dateien und Verzeichnisse (r, w, a, l, k, m)
- Executerechte von Programmen (ux, Ux, px, Px, i, cx, Cx)
- Laden von Child Profilen (subprofile, ^hat)
- Regel Attribute (audit, owner, deny, ...)
- Troubleshooting von AppArmor Zugriffsproblemen
- Analysieren von Zugriffsverletzungen mit dem Audit Framework
- Anpassen von Profilen mit aa-logprof
- Entladen und Laden von veränderten Profilen in den Kernel
- Arbeiten mit dem apparmor_parser
Empfohlene Vorkenntnisse
Diese Schulung richtet sich an alle Teilnehmer mit Administrationserfahrungen im Linux Bereich, wie sie in unserem Kurs "Linux 2 System Administration" vermittelt werden.
Details zu diesem Open Source Training
| Kurstitel: | Linux Server Security mit AppArmor |
| Kurspreis: | 845,00 € exkl. MwSt pro Teilnehmer, Standardpreis ohne Rabatt |
| Kursdatum: Kurszeiten: |
19.12.25 - 19.12.25 |
|
|
|
Kursort: |
LinuxCampus Sie können vom jedem Ort teilnehmen von dem Sie möchten und es ist keine Anreise notwendig. Sie benötigen nur eine Webcam, einen Webbrowser (ZOOM-Session) und einen VNC-Client für den Zugriff auf ihr Teilnehmer LAB. |
| Details: |
Der Kurs ist auf 10 Teilnehmer beschränkt |
| Kennen Sie schon das LinuxCampus.net Rabatt & Bonus System? | |
Den Kurstermin 19.12.25 - 19.12.25 buchen
Schritt 1: Auswahl der Kursvariante (Classroom oder Live)
Schritt 2: Angabe der Teilnehmer Daten
Alternative Kursmöglichkeiten
Alternativer Kursort:
Dieses Thema kann auch als In-House Training oder Einzeltraining gebucht werden
Alternativer Termin:
Ab 3 Teilnehmern bieten wir Ihnen gerne einen auf Ihre Bedürfnisse abgestimmten Termin an
Weitere Termine zu diesem Kursthema
| Datum | Kurstitel | Ort |
|---|---|---|
| 19.12.2025 | Linux Server Security mit AppArmor | LinuxCampus |
| 13.03.2026 | Linux Server Security mit AppArmor | LinuxCampus |