Analyse der Protokolle

AppArmor protokolliert alle Verstöße gegen die geladenen Profile in einem Protokoll. Hierfür nutzt AppArmor den Auditd-Daemon, der in einem eigenen Kapitel besprochen wird (A). Der Auditd-Daemon protokolliert seine Meldungen in der Datei /var/log/audit/audit.log. Falls der Auditd-Daemon nicht aktiv ist, werden die Protokolle über den Syslogd-Daemon in die Datei /var/log/messages geschrieben.

Hier möchte ich Ihnen kurz den Aufbau der AppArmor Protokollmeldungen beschreiben. Diese Protokollmeldungen helfen Ihnen bei der Fehlersuche als auch bei der Anpassung vorhandener Profile an neue Anforderungen und dem Erstellen kompletter neuer Profile.

AppArmor kann vier verschiedene Protokollmeldungen schreiben, die im folgenden einzeln betrachtet werden sollen.

• PERMITTING: Diese Meldungen werden erzeugt, wenn AppArmor sich in dem Lernmodus befindet. Jeder Zugriff der Applikation im Lernmodus wird dann protokolliert.

  type=APPARMOR msg=audit(1155035013.332:16): PERMITTING access to capability 'net_raw' (nmap(24874) profile /usr/bin/nmap active /usr/bin/nmap)
  type=APPARMOR msg=audit(1155035013.448:17): PERMITTING r access to /usr/share/nmap/nmap-mac-prefixes (nmap(24874) profile /usr/bin/nmap active /usr/bin/nmap)
  

  In der ersten Meldung wird der Zugriff auf eine Capability erlaubt. Der zugreifende Prozess ist nmap mit der Prozessnummer 24874. Das aktive Profil /usr/bin/nmap überwacht dabei den Prozess /usr/bin/nmap. In der zweiten Meldung wird der lesende (r) Zugriff auf die Datei /usr/share/nmap/nmap-mac-prefixes demselben Prozess gewährt.

• REJECTING: Diese Meldungen werden erzeugt, wenn AppArmor einen Prozess überwacht und dabei den Zugriff nicht erlaubt. Häufig führt das auch zu einer Fehlfunktion der Applikation. Das Profil muss erweitert werden, um den Zugriff zu erlauben. Möglicherweise handelt es sich aber auch um einen unerwünschten bösartigen Zugriff, der von AppArmor erfolgreich abgewehrt wurde. Im folgenden sind zwei typische Ablehnungen aufgeführt.

  type=APPARMOR msg=audit(1155037095.706:54): REJECTING r access to /proc/swaps (httpd2-prefork(28354) profile /usr/sbin/httpd2-prefork active /usr/sbin/httpd2-prefork)
  type=APPARMOR msg=audit(1155037095.710:57): REJECTING x access to /bin/mount (httpd2-prefork(28354) profile /usr/sbin/httpd2-prefork active /usr/sbin/httpd2-prefork)
  

  Hier wird für den Prozess /usr/sbin/httpd2-prefork der lesende Zugriff auf die Datei /proc/swaps und der ausführende Zugriff auf die Datei /bin/mount abgelehnt.

• LOGPROF-HINT: Diese Meldungen tauchen nur im Lernmodus auf und weisen den Befehl logprof auf besondere Umstände hin. Ruft ein Programm im Lernmodus einen weiteren Prozess auf, so schreibt AppArmor die folgende Meldung:

  type=APPARMOR msg=audit(1155037256.176:287): LOGPROF-HINT changing_profile pid=28383
  

  Diese Meldungen werden nur von Logprof ausgewertet.

• AUDITING: Diese Meldung erscheint nur im Audit-Modus. Im Audit-Modus wird jeder Zugriff einer Applikation protokolliert. Erlaubte Zugriffe werden mit dem Schlüsselwort AUDITING und verbotene Zugriffe mit dem Schlüsselwort REJECTING protokolliert.

  type=APPARMOR msg=audit(1155037692.339:315): AUDITING r access to /etc/localtime (nmap(28408) profile /usr/bin/nmap active /usr/bin/nmap)