AppArmor

Profily AppArmor na Ubuntu

Profily AppArmor na Ubuntu

AppArmor, modul zabezpečenia jadra systému Linux, môže obmedziť prístup do systému pomocou nainštalovaného softvéru pomocou profilov špecifických pre danú aplikáciu.  AppArmor je definovaný ako povinná kontrola prístupu alebo systém MAC. Niektoré profily sú nainštalované v čase inštalácie balíka a AppArmor obsahuje niektoré ďalšie profily z balíkov apparmor-profiles. Balík AppArmor je predvolene nainštalovaný na Ubuntu a všetky predvolené profily sa načítajú v čase spustenia systému. Profily obsahujú zoznam pravidiel riadenia prístupu, ktoré sú uložené v etc / apparmor.d /.

Môžete tiež chrániť ľubovoľnú nainštalovanú aplikáciu vytvorením profilu AppArmor pre túto aplikáciu. Profily AppArmor môžu byť v jednom z dvoch režimov: režim sťažnosti alebo režim presadzovania práva. Systém nevynucuje žiadne pravidlá a porušenia profilov sa prijímajú s denníkmi, keď sú v režime sťažnosti. Tento režim je lepšie otestovať a vytvoriť akýkoľvek nový profil. Pravidlá presadzuje systém v vynútenom režime. Ak dôjde k porušeniu ktoréhokoľvek profilu aplikácie, nebude pre túto aplikáciu povolená žiadna operácia a protokol zostavy sa vygeneruje v systéme syslog alebo auditd. Do syslogu môžete získať prístup z daného miesta, / var / log / syslog. V tomto článku sa dozviete, ako môžete skontrolovať existujúce profily AppArmor vo vašom systéme, zmeniť režim profilu a vytvoriť nový profil.

Skontrolujte existujúce profily AppArmor

apparmor_status príkaz sa používa na zobrazenie načítaného zoznamu profilov AppArmor so stavom. Spustite príkaz s oprávnením root.

$ sudo apparmor_status

Zoznam profilov sa môže meniť podľa operačného systému a nainštalovaných balíkov. Nasledujúci výstup sa objaví v Ubuntu 17.10. Je zobrazené, že 23 profilov sa načítava ako profily AppArmor a všetky sú predvolene nastavené ako vynútený režim. Tu sú profily s vynúteným režimom definované 3 procesy, dhclient, cups-browsed a cupsd a v režime sťažnosti neexistuje žiadny proces. Režim vykonávania môžete zmeniť pre ľubovoľný definovaný profil.

Upraviť režim profilu

Režim profilu môžete zmeniť v ktoromkoľvek procese od sťažnosti po vynútený alebo naopak. Musíte si nainštalovať apparmor-utils balíček na vykonanie tejto operácie. Spustite nasledujúci príkaz a stlačte 'Y„keď žiada o povolenie na inštaláciu.

$ sudo apt-get install apparmor-utils

Existuje názov profilu dhclient ktorý je nastavený ako vynútený režim. Spustením nasledujúceho príkazu zmeňte režim na režim sťažnosti.

$ sudo aa-sťažnosť / sbin / dhclient

Teraz, ak znova skontrolujete stav profilov AppArmor, uvidíte, že režim vykonávania dhclient sa zmení na režim sťažovania.

Pomocou nasledujúceho príkazu môžete znova zmeniť režim na vynútený.

$ sudo aa-enforce / sbin / dhclient

Cesta k nastaveniu režimu vykonávania pre všetky profily AppArmore je / etc / apparmor.d / *.

Spustením nasledujúceho príkazu nastavíte režim vykonávania všetkých profilov v režime sťažnosti:

$ sudo aa-sťažnosť / etc / apparmor.d / *

Spustením nasledujúceho príkazu nastavíte režim vykonávania všetkých profilov v nútenom režime:

$ sudo aa-enforce / etc / apparmor.d / *

Vytvorte nový profil

Všetky nainštalované programy predvolene nevytvárajú profily AppArmore. V záujme vyššej bezpečnosti systému bude pravdepodobne potrebné vytvoriť profil AppArmore pre každú konkrétnu aplikáciu. Ak chcete vytvoriť nový profil, musíte zistiť programy, ktoré nie sú spojené so žiadnym profilom, ale potrebujú zabezpečenie. nedefinovaná aplikácia príkaz sa používa na kontrolu zoznamu. Podľa výstupu nie sú prvé štyri procesy spojené so žiadnym profilom a posledné tri procesy sú predvolene ohraničené tromi profilmi s vynúteným režimom.

$ sudo aa-unconfined

Predpokladajme, že chcete vytvoriť profil procesu NetworkManager, ktorý nie je obmedzený. Bež aa-genprof príkaz na vytvorenie profilu. Typ 'F'na dokončenie procesu vytvárania profilu. Akýkoľvek nový profil sa predvolene vytvára v nútenom režime. Tento príkaz vytvorí prázdny profil.

$ sudo aa-genprof NetworkManager

Pre akýkoľvek novovytvorený profil nie sú definované žiadne pravidlá a môžete upraviť obsah nového profilu úpravou nasledujúceho súboru, aby ste nastavili obmedzenia pre program.

$ sudo mačka / etc / apparmor.d / usr.sbin.NetworkManager

Znova načítajte všetky profily

Po nastavení alebo zmene ľubovoľného profilu musíte profil znova načítať. Spustením nasledujúceho príkazu znova načítajte všetky existujúce profily AppArmor.

$ sudo systemctl znovu načítať apparmor.služby

Aktuálne načítané profily môžete skontrolovať pomocou nasledujúceho príkazu. Na výstupe uvidíte položku pre novovytvorený profil programu NetworkManager.

$ sudo cat / sys / kernel / security / apparmor / profiles

AppArmor je teda užitočný program na zaistenie bezpečnosti vášho systému nastavením potrebných obmedzení pre dôležité aplikácie.

Hry Najlepšie hry z príkazového riadku pre systém Linux
Najlepšie hry z príkazového riadku pre systém Linux
Príkazový riadok nie je pri použití systému Linux iba vaším najväčším spojencom - môže byť tiež zdrojom zábavy, pretože ho môžete použiť na hranie mno...
Hry Najlepšie aplikácie na mapovanie gamepadu pre Linux
Najlepšie aplikácie na mapovanie gamepadu pre Linux
Ak radi hráte hry v systéme Linux s gamepadom namiesto typického systému vstupu pre klávesnicu a myš, máte tu niekoľko užitočných aplikácií. Mnoho hie...
Hry Užitočné nástroje pre hráčov systému Linux
Užitočné nástroje pre hráčov systému Linux
Ak radi hráte hry v systéme Linux, je pravdepodobné, že ste na vylepšenie herného zážitku použili aplikácie a pomôcky ako Wine, Lutris a OBS Studio. O...