usr.sbin.sshdプロファイルを修正して適用します。
Table of Contents
1 AppArmorのインストール
こちらの手順でAppArmorをインストールします。
2 usr.sbin.sshdプロファイルの修正と適用
/usr/share/doc/apparmor-profiles/extras/usr.sbin.sshdを利用します。
$ sudo cp /usr/share/doc/apparmor-profiles/extras/usr.sbin.sshd \
/etc/apparmor.d/
/etc/apparmor.d/usr.sbin.sshdに対して以下のパッチを適用します。以下のパッチはssh接続時にDENIEDされたものに対して権限を与えるものです。
$ cd /etc/apparmor.d/
$ cat <<EOF | sudo patch -p1
--- a/usr.sbin.sshd 2014-12-12 22:28:41.000000000 +0900
+++ b/usr.sbin.sshd 2017-06-14 21:56:41.388000000 +0900
@@ -32,6 +32,8 @@
capability setgid,
capability setuid,
capability audit_control,
+ capability audit_write,
+ capability net_admin,
capability dac_override,
capability dac_read_search,
@@ -53,8 +55,9 @@
/{,var/}run/sshd{,.init}.pid wl,
@{PROC}/@{pid}/fd/ r,
- @{PROC}/@{pid}/loginuid w,
+ @{PROC}/@{pid}/loginuid rw,
@{PROC}/@{pid}/limits r,
+ @{PROC}/@{pid}/uid_map r,
# should only be here for use in non-change-hat openssh
# duplicated from EXEC hat
EOF
プロファイルをEnforceにします。
$ sudo aa-enforce /etc/apparmor.d/usr.sbin.sshd