AppArmor, modul zabezpečenia jadra systému Linux, môže obmedziť prístup do systému pomocou nainštalovaného softvéru pomocou profilov špecifických pre danú aplikáciu. AppArmor je definovaný ako povinná kontrola prístupu alebo systém MAC. Niektoré profily sú nainštalované v čase inštalácie balíka a AppArmor obsahuje niektoré ďalšie profily z balíkov apparmor-profiles. Balík AppArmor je predvolene nainštalovaný na Ubuntu a všetky predvolené profily sa načítajú v čase spustenia systému. Profily obsahujú zoznam pravidiel riadenia prístupu, ktoré sú uložené v etc / apparmor.d /.
Môžete tiež chrániť ľubovoľnú nainštalovanú aplikáciu vytvorením profilu AppArmor pre túto aplikáciu. Profily AppArmor môžu byť v jednom z dvoch režimov: režim sťažnosti alebo režim presadzovania práva. Systém nevynucuje žiadne pravidlá a porušenia profilov sa prijímajú s denníkmi, keď sú v režime sťažnosti. Tento režim je lepšie otestovať a vytvoriť akýkoľvek nový profil. Pravidlá presadzuje systém v vynútenom režime. Ak dôjde k porušeniu ktoréhokoľvek profilu aplikácie, nebude pre túto aplikáciu povolená žiadna operácia a protokol zostavy sa vygeneruje v systéme syslog alebo auditd. Do syslogu môžete získať prístup z daného miesta, / var / log / syslog
. V tomto článku sa dozviete, ako môžete skontrolovať existujúce profily AppArmor vo vašom systéme, zmeniť režim profilu a vytvoriť nový profil.
Skontrolujte existujúce profily AppArmor
apparmor_status príkaz sa používa na zobrazenie načítaného zoznamu profilov AppArmor so stavom. Spustite príkaz s oprávnením root.
$ sudo apparmor_status
Zoznam profilov sa môže meniť podľa operačného systému a nainštalovaných balíkov. Nasledujúci výstup sa objaví v Ubuntu 17.10. Je zobrazené, že 23 profilov sa načítava ako profily AppArmor a všetky sú predvolene nastavené ako vynútený režim. Tu sú profily s vynúteným režimom definované 3 procesy, dhclient, cups-browsed a cupsd a v režime sťažnosti neexistuje žiadny proces. Režim vykonávania môžete zmeniť pre ľubovoľný definovaný profil.
Upraviť režim profilu
Režim profilu môžete zmeniť v ktoromkoľvek procese od sťažnosti po vynútený alebo naopak. Musíte si nainštalovať apparmor-utils balíček na vykonanie tejto operácie. Spustite nasledujúci príkaz a stlačte 'Y„keď žiada o povolenie na inštaláciu.
$ sudo apt-get install apparmor-utils
Existuje názov profilu dhclient ktorý je nastavený ako vynútený režim. Spustením nasledujúceho príkazu zmeňte režim na režim sťažnosti.
$ sudo aa-sťažnosť / sbin / dhclient
Teraz, ak znova skontrolujete stav profilov AppArmor, uvidíte, že režim vykonávania dhclient sa zmení na režim sťažovania.
Pomocou nasledujúceho príkazu môžete znova zmeniť režim na vynútený.
$ sudo aa-enforce / sbin / dhclient
Cesta k nastaveniu režimu vykonávania pre všetky profily AppArmore je / etc / apparmor.d / *.
Spustením nasledujúceho príkazu nastavíte režim vykonávania všetkých profilov v režime sťažnosti:
$ sudo aa-sťažnosť / etc / apparmor.d / *Spustením nasledujúceho príkazu nastavíte režim vykonávania všetkých profilov v nútenom režime:
$ sudo aa-enforce / etc / apparmor.d / *Vytvorte nový profil
Všetky nainštalované programy predvolene nevytvárajú profily AppArmore. V záujme vyššej bezpečnosti systému bude pravdepodobne potrebné vytvoriť profil AppArmore pre každú konkrétnu aplikáciu. Ak chcete vytvoriť nový profil, musíte zistiť programy, ktoré nie sú spojené so žiadnym profilom, ale potrebujú zabezpečenie. nedefinovaná aplikácia príkaz sa používa na kontrolu zoznamu. Podľa výstupu nie sú prvé štyri procesy spojené so žiadnym profilom a posledné tri procesy sú predvolene ohraničené tromi profilmi s vynúteným režimom.
$ sudo aa-unconfined
Predpokladajme, že chcete vytvoriť profil procesu NetworkManager, ktorý nie je obmedzený. Bež aa-genprof príkaz na vytvorenie profilu. Typ 'F'na dokončenie procesu vytvárania profilu. Akýkoľvek nový profil sa predvolene vytvára v nútenom režime. Tento príkaz vytvorí prázdny profil.
$ sudo aa-genprof NetworkManager
Pre akýkoľvek novovytvorený profil nie sú definované žiadne pravidlá a môžete upraviť obsah nového profilu úpravou nasledujúceho súboru, aby ste nastavili obmedzenia pre program.
$ sudo mačka / etc / apparmor.d / usr.sbin.NetworkManager
Znova načítajte všetky profily
Po nastavení alebo zmene ľubovoľného profilu musíte profil znova načítať. Spustením nasledujúceho príkazu znova načítajte všetky existujúce profily AppArmor.
$ sudo systemctl znovu načítať apparmor.službyAktuálne načítané profily môžete skontrolovať pomocou nasledujúceho príkazu. Na výstupe uvidíte položku pre novovytvorený profil programu NetworkManager.
$ sudo cat / sys / kernel / security / apparmor / profiles
AppArmor je teda užitočný program na zaistenie bezpečnosti vášho systému nastavením potrebných obmedzení pre dôležité aplikácie.