autdepしているプログラムまたはアプリケーションへの近似プロファイルを作成します。バイナリ実行ファイルおよび解釈済みスクリプトプログラムへの近似プロファイルを生成できます。作成されたプロファイルは「近似」と呼ばれます。プログラムがNovell AppArmorにより正しく制限される必要があるプロファイルエントリを、必ずしもすべて含む必要がないためです。最小限のautodep近似プロファイルは少なくとも、ディレクティブを含む基本要素を備えています。ディレクティブは、ほとんどのプログラムで必要な、基本的なプロファイルエントリを含んでいます。特定のプログラムのために、autodepではより広範なプロファイルを生成します。プロファイルは、コマンドラインに一覧表示された実行ファイル上でldd(1)を繰り返し呼び出すことにより生成されます。

近似プロファイルを生成するには、autodepプログラムを使用します。プログラムの引数は、autodepがシェルのパス変数を検索して見つける単純なプログラム名、もしくは完全修飾パスのいずれかです。プログラム自体は任意の種類ですが（ELFバイナリ、シェルスクリプト、Perlスクリプトなど）、autodepは近似プロファイルを生成し、それは後に動的プロファイルにより改良されます。　　

作成された近似プロファイルは/etc/apparmor.dディレクトリに書き込まれます。名前はNovell AppArmorプロファイルの名前付けの慣習に従い、プログラムの絶対パスから名前をとります。パスのスラッシュ(/)はピリオド(.)に置き換えます。autodepの一般的な形態は、rootとしてログインしている間に、ターミナルウィンドウで以下のコマンドを入力することです。

autodep [ -d /path/to/profiles ] [program1 program2...]

プログラム名を入力しないと、入力するよう求められます。 /path/to/profilesは/etc/apparmor.dのデフォルトのロケーションを上書きします。

プロファイルを開始するには、アプリケーションの一部である主な実行可能なサービス（すでにプロファイルを持つその他のプログラムの子にはならずに開始するものすべて）それぞれに対し、プロファイルを作成します。このようなプログラムをすべて検索するのは、該当するアプリケーションによって異なります。プログラムを検索するための方法として、以下があります。

コンプレインモードまたはラーニングモードツールでは、プロファイルされたプログラムがプロファイルにより許可されていないファイルにアクセスするというような、Novell AppArmorプロファイルルールの違反を検出します。ルール違反は許可されますが、ログに記録されます。プロファイルを改良するには、コンプレインモードをオンにし、テストスイートを使用してプログラムを実行してプログラムのアクセスの必要性を表すログイベントを生成し、Novell AppArmorツールを使用してログの後処理を行い、ログイベントを拡張したプロファイルに変換します。

（コマンドラインを使用して）コンプレインモードを有効にするには、プロファイルの先頭にフラグを立て、/bin/fooが/bin/foo flags=(complain)となるようにします。コンプレインモードを使用するには、ターミナルウィンドウを開き、rootユーザとして以下の行から一つを入力します。

これらの各コマンドは、挙げられたプロファイル/プログラムのコンプレインモードを有効にします。コマンドはプログラムまたはプロファイルのどちらかを表示します。プログラム名が完全パスを含まない場合、$PATHを使用してプログラムを検索します。たとえば、complain /usr/sbin/*では/usr/sbin内のすべてのプログラムに関連するプロファイルを検索してそれらをコンプレインモードに設定し、complain /etc/apparmor.d/*では/etc/apparmor.d内のすべてのプロファイルをコンプレインモードに設定します。

強制モードツールでは、プロファイルされたプログラムがプロファイルにより許可されていないファイルにアクセスするというような、Novell AppArmorプロファイルルールの違反を検出します。ルール違反はログに記録され、許可されません。デフォルトでは、強制モードはオンになっています。Novell AppArmorプロファイルがプロファイルされたプログラムへのアクセスを制御する設定にする場合、コンプレインモードをオンにします。強制モードはコンプレインモードに切り替わります。

（コマンドラインを使用して）強制モードを有効にするには、プロファイルの先頭にフラグを立て、/bin/fooが/bin/foo flags=(enforce)となるようにします。強制モードを使用するには、ターミナルウィンドウを開き、rootユーザとして以下の行のうちの一つを入力します。

これらの各コマンドは、挙げられたプロファイルおよびプログラムの強制モードを有効にします。

プログラム名またはプロファイル名を入力しないと、入力するよう求められます。/path/to/profilesは/etc/apparmor.dのデフォルトのロケーションを上書きします。

引数は、プログラムの一覧またはプロファイルの一覧のいずれかです。プログラム名が完全パスを含まない場合、$PATHを強制してプログラムを検索します。たとえば、enforce /usr/sbin/*では/usr/sbin内のすべてのプログラムに関連するプロファイルを検索してそれらを強制モードに設定し、enforce /etc/apparmor.d/*では/etc/apparmor.d内のすべてのプロファイルを強制モードに設定します。

genprof(またはプロファイルの生成)はNovell AppArmorのプロファイル生成ユーティリティです。genprofは特定のプログラム上でautodepを実行し、近似プロファイルを作成し(プロファイルが存在しない場合)、プロファイルをコンプレインモードに設定し、Novell AppArmorに再ロードし、syslogを記録し、ユーザがプログラムを実行して機能を行使するよう求めます。構文は以下となります。

genprof [ -d /path/to/profiles ]  program

Apache Webサーバプログラムhttpd2-preforkのプロファイルを作成する場合、rootシェルで以下の処理を行います。

logprofは対話型のツールで、syslogエントリ内にあるラーニングモードの出力、およびコンプレインモードの出力を見直し、Novell AppArmorセキュリティプロファイル内で新しいエントリを生成するために使用されます。

logprofは実行されると、ラーニングモードまたはコンプレインモードで作成されたログファイルのスキャンを開始し、既存のプロファイルセットが使用されていない新しいセキュリティイベントがある場合、そのプロファイルを変更するよう提案します。ラーニングモードまたはコンプレインモードはプログラムの動作を追跡し、それをsyslogに入力します。logprofはこの情報を使用してプログラムの動作を観察します。

制限されたプログラムが他のプログラムを分岐および実行する場合、logprofはこれを参照して、子のプロセスを開始するときにどちらの実行モードを使用するか尋ねます。以下の実行モードは、子のプロセスを起動する際のオプションです。ix、pxおよびux。子のプロセス用の別のプロファイルが存在する場合、デフォルトの選択はpxです。別のプロファイルが存在しない場合、プロファイルのデフォルトはixです。別のプロファイルがある子のプロセスには、子プロセス上で実行するautodepがあり、autodepが実行している場合、子プロセスはNovell AppArmorにロードされます。

logprofが終了すると、プロファイルは変更を伴い更新されます。AppArmorモジュールが実行しているとき、更新されたプロファイルは再ロードされ、セキュリティイベントを生成した任意のプロセスがnull-complainプロファイル内で実行していれば、これらのプロセスは正しいプロファイルの下で実行するよう設定されます。

logprofを実行するには、rootとしてログインしている間に、ターミナルウィンドウで「logprof」と入力します。以下のオプションもまた、logprofに使用できます。

logprofはログに記録されたイベントの処理方法について尋ね、そのログをスキャンします。各質問は、Novell AppArmorルールの番号化されたリストを表示します。リストは、リスト上にある項目の数を押して追加できます。

デフォルトでは、logprof は/etc/apparmor.d/内のプロファイルを探し、/var/log/messages内のログをスキャンします。そのため多くの場合、プロファイルを作成するには、rootとしてlogprofを実行すれば十分です。

しかし、アーカイブされたログファイルを検索する必要がある場合があります。プログラムの実行期間がログローテーションウィンドウを超える場合（ログファイルがアーカイブされ、新しいログファイルが起動するとき）などです。このような場合、zcat -f `ls -1tr /var/log/messages*` | logprof -f -を入力できます。

httpd2-preforkのファイル/etc/groupへのアクセスを、logprofが扱うときの例を以下に示します。この例では、[]はデフォルトのオプションを示します。

この例では、 /etc/groupへのアクセスは、httpd2-preforkが名前サービスにアクセスする動作の一部です。適切な応答は1です。これは定義済みのNovell AppArmorルールセットを取得します名前サービスパッケージは、#includeに1を選択して、DNSルックアップに関連するそれ以降の質問をすべて解決します。また、DNS設定および関連する名前サービスプロファイルパッケージの任意の変更は一度だけ行うことができ、多くのプロファイルを修正する必要がないという点で、プロファイルの不安定さを緩和します。

プロファイル：/usr/sbin/httpd2-prefork 
Path:/etc/group 
New Mode:r

[1 - #include <abstractions/nameservice>]
 2 - /etc/group
 [(A)llow] / (D)eny / (N)ew / (G)lob / Glob w/(E)xt / Abo(r)t / (F)inish

次のレスポンスのうち1つを選択します。

profiling vsftpdからの例には、以下の質問があります。

プロファイル：/usr/sbin/xinetd 
Path:/y2k.jpg 
New Mode:r

 [1 - /y2k.jpg]

(A)llow] / (D)eny / (N)ew / (G)lob / Glob w/(E)xt / Abo(r)t / (F)inish 

この質問内に必要な項目が表示されます。第一に、デフォルトで/srv/ftpからのFTPファイルをSUSE Linux上のvsftpdが処理するとしても、vsftpdはツリー最上位のパスエントリを要求することに注意してください。この理由は、httpd2-preforkはchrootを使用し、chroot jail内のコードの一部に向けて、Novell AppArmorはグローバル絶対パスではなく　環境に関してファイルのアクセスを参照するためです。

必要な項目の2つ目は、FTPにディレクトリ内のすべてのJPEGファイルへのアクセスを与えたい場合です。これを行うと、［Glob w/Ext］および提示される/*.jpgのパスを使用できます。この処理を行うと、個々の.jpgファイルへのアクセスを許可するこれまでのルールすべてが失われ、.jpgファイルへのアクセスに関する将来の任意の問題を未然に阻止します。

最後に、FTPファイルへのより一般的なアクセスを与えたい場合があります。最後のエントリで［グロッビング］を選択すると、logprofは/y2k.jpgの提示されたパスを/*に置き換えます。あるいはディレクトリツリー全体へのアクセスをさらに与えたい場合があります。この場合、［新規］パスオプションを使用して/**.jpgと入力するか（ディレクトリツリー全体にあるすべての.jpgファイルへのアクセスを与えます）、または「/**」と入力します（ディレクトリツリー内のすべてのファイルへのアクセスを与えます）。

上記の説明は、読み取りアクセスを対処しています。書き込みアクセスは読み取りアクセスに似ていますが、書き込みアクセスへの正規表現の使用に関して、より保守的になることはよいポリシーです。

実行権限を扱うのは、より複雑です。以下の3種類の実行権限のうち、付与する権限を決定する必要があります。

以下の例では、/usr/bin/mailメールクライアントがプロファイルされており、長いメールメッセージを「ページ」するヘルパーアプリケーションとして、/usr/bin/mailが/usr/bin/lessを実行することをlogprof が検出しています。したがって、以下のプロンプトが表示されます。

/usr/bin/nail -> /usr/bin/less
(I)nherit / (P)rofile / (U)nconstrained / (D)eny

	ティップ
/usr/bin/mailへの実際の実行可能ファイルは/usr/bin/nailとなりますが、これは誤字ではありません。

プログラム/usr/bin/lessは、1画面の長さより長いテキスト、および実際に/usr/bin/mailでこのプログラムを使用しているテキストをスクロールするための単純なプログラムであるように見えます。しかし、lessは実際に大規模で強力なプログラムで、tarやrpmのような、その他多くのヘルパーアプリケーションを利用します。

	ティップ
tarボールまたはRPMファイル上でlessを実行すると、これらのコンテナの一覧表が表示されます。

メールメッセージを読んでいるときに、rpmを自動的に実行することを望まないでしょう(rpmにはシステムプログラムをインストールおよび変更する権限があるため、実行すると、Microsoft* Outlookスタイルのウィルス攻撃を直接引き起こします)。そのため最善の選択は、［継承］を使用することです。この結果、/usr/bin/mailのプロファイルの下で稼動する、このコンテキストから実行されるプログラムは減少します。これは2つの結果をもたらします。

その他の状況では、［プロファイル］オプションを使用する場合があります。このオプションはlogprofに2つの効果を及ぼします。

最後に、［制限なし］を指定して、子のプロセスに非常に強力なアクセスを許可する場合があります。この処理では親プロファイルにuxを書き込み、子が実行されるとき、Novell AppArmorプロファイルはまったく適用されません。これは保護なしで実行することであり、不可欠なときにだけ使用してください。

色を使用して、Novell AppArmorプロファイルのさまざまな機能をvimテキストエディタが強調表示するための、構文カラーファイルです。　vimおよびvimへのNovell AppArmor構文モードを使用すると、色の強調表示でプロファイルの意味上の含みを把握できます。ターミナルウィンドウでvimｒと入力して、vimを使用してプロファイルを参照および編集してください。

vimでNovell AppArmorプロファイルを編集するときに構文カラーを有効にするには、:syntax onコマンドを使用し、続いて:set syntax=apparmorコマンドを使用します。または、これらの行を~/.vimrcファイル内に配置できます。

syntax on
set modeline
set modelines=5

この機能を有効にすると、vimはプロファイルの該当する行の色を変えます。

	注意
これらの行を.vimrcファイルで使用するときはセキュリティリスクがあります。これらにより、編集しているファイルに表示される構文モードをvimが信頼するためです。これらを利用して、vimで開く、何かしら危険なファイルを攻撃者が送信してくるかもしれません。

構文の強調表示に関する詳細のvimのヘルプは、apparmor.vimおよびvimのマンページ、vimエディタ内からの:help構文を使用してください。 　Novell AppArmor構文は/usr/share/vim/current/syntax/apparmor.vimに格納されます。

［制限なし］コマンドはシステム上のオープンネットワークポートを検査し、それをシステムにロードされたプロファイルセットと比較し、Novell AppArmorプロファイルがないネットワークサービスをレポートします。root権限およびNovell AppArmorプロファイルにより制限されていないことが必要です。

制限なしはrootとして実行し、ファイルシステムからプロセス実行可能リンクを取得する必要があります。このプログラムは以下の競合を引き起こす可能性があります。

	注意
このプログラムでは、TCPおよびUDPのみを使用するプロセスを一覧表示します。つまり、このプログラムは科学捜査への使用には適さず、研究室でネットワーク可能なプロセスをすべてプロファイルするときの支援として提供されているだけです。

Novell AppArmorの科学およびセキュリティに関する詳細の情報は、以下の文書を参照してください。