| 4.5 セキュリティプロファイルの管理 | ||
|---|---|---|
 | 第4章 プロファイルしたアプリケーションの管理 |  |
| 4.5 セキュリティプロファイルの管理 | ||
|---|---|---|
| | 第4章 プロファイルしたアプリケーションの管理 | |
生産環境にて、配置されたアプリケーションすべてに対するプロファイルを管理することを計画する必要があります。セキュリティポリシーは、配置するにあたり不可欠な部分です。セキュリティポリシーファイルのバックアップをとり復元する、ソフトウェアの変更に対し計画を立てる、およびユーザの環境が決定するセキュリティポリシーに必要な修正を加えるには、計画を立てて対策を講じる必要があります。これらの項目については、以下のセクションに記載されています。
プロファイルの作成には時間がかかるため、バックアップをとることは大切です。バックアップをとることにより、ディスクが壊れた後、すべてのプログラムを再プロファイルする必要がなくなる場合があります。さらに、プロファイルが変更される場合、バックアップファイルを使用して以前の設定を簡単に復元できます。
プロファイルファイルを特定のディレクトリにコピーして、プロファイルをバックアップします。
まず対象ファイルを一つのファイルにアーカイブします。そのためには、ターミナルウィンドウを開きrootとして以下を入力します。
tar zclpf profiles.tgz /etc/apparmor.d
セキュリティポリシーファイルを定期的に確実にバックアップするための最も簡単な方法は、バックアップシステムがアーカイブするディレクトリの一覧に、ディレクトリ/etc/apparmor.dを含めることです。
また、scpまたはKonquerorやNautilusなどのファイルマネージャを使用して、ファイルをある種のストレージメディア、ネットワークまたはその他のコンピュータに保存することもできます。
システムがアプリケーションへのセキュリティを多少なり必要とすると決定した場合、セキュリティプロファイルの管理は、その変更を含めます。Novell AppArmor内のプロファイルを変更するには、3.3.3項 「プロファイルの編集」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照してください。
システムに新しいアプリケーションのバージョンまたはパッチを追加する場合、常にプロファイルを必要に応じて更新する必要があります。組織のソフトウェア展開戦略に応じて、オプションがいくつかあります。パッチおよびアップグレードを、テストまたは生産環境に展開させることができます。以下で、これを各方法でどのように行うかを説明します。
パッチまたはアップグレードをテスト環境に展開させる場合、プロファイルを更新するのに最適な方法は以下の中の一つです。
YaSTでを選択して、プロファイルウィザードを実行します。これを使用すると、最小限の労力でアプリケーションプロファイルセットを現在の製品に更新できます。ステップバイステップの説明については、3.3.1項 「ウィサードを使用してプロファイルを追加する」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照してください。
rootとしてログインしている間に、ターミナルで「genprof」とタイプしてgenprofを実行します。詳細の説明については、3.5.3.4項 「genprof」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照してください。
パッチまたはアップグレードを直接生産環境に展開させる場合、プロファイルを更新するのに最適な方法は以下の中の一つです。
システムを頻繁に監視して、新規の拒否を、logprofを使用して必要に応じてプロファイルに追加および更新する必要があるかどうか決定します。詳細の説明については、3.5.3.5項 「logprof」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照してください。
新しい動作(すべてのアクセスが拒否されずに許可されるというような、高度なセキュリティリスク)について知るには、プロファイルツールを実行してください。ステップバイステップの説明については、3.3.5項 「Syslogエントリからのプロファイルの更新」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照してください。
| |  | |
| 4.4 セキュリティイベントへの対応 |  | 第5章 ChangeHat Apacheを使用したWebアプリケーションのプロファイル |