AppArmor

Profily AppArmor na Ubuntu

Profily AppArmor na Ubuntu

AppArmor, modul zabezpečení jádra systému Linux, může omezit přístup do systému nainstalovaným softwarem pomocí profilů specifických pro aplikaci.  AppArmor je definován jako povinná kontrola přístupu nebo systém MAC. Některé profily jsou nainstalovány v době instalace balíčku a AppArmor obsahuje některé další profily z balíčků apparmor-profiles. Balíček AppArmor je ve výchozím nastavení nainstalován na Ubuntu a všechny výchozí profily se načtou při spuštění systému. Profily obsahují seznam pravidel řízení přístupu, která jsou uložena v atd. / apparmor.d /.

Můžete také chránit jakoukoli nainstalovanou aplikaci vytvořením profilu AppArmor této aplikace. Profily AppArmor mohou být v jednom ze dvou režimů: režim „stížnosti“ nebo „vynucování“. Systém nevynucuje žádná pravidla a v režimu stížnosti jsou s protokoly přijímána porušení profilů. Tento režim je lepší otestovat a vyvinout jakýkoli nový profil. Pravidla jsou vynucována systémem v vynuceném režimu a pokud dojde k narušení jakéhokoli profilu aplikace, nebude pro tuto aplikaci povolena žádná operace a protokol sestavy bude vygenerován v syslog nebo auditd. K syslogu můžete přistupovat z umístění, / var / log / syslog. V tomto článku je uvedeno, jak můžete zkontrolovat stávající profily AppArmor ve vašem systému, změnit režim profilu a vytvořit nový profil.

Zkontrolujte existující profily AppArmor

apparmor_status příkaz se používá k zobrazení načteného seznamu profilů AppArmor se stavem. Spusťte příkaz s oprávněním root.

$ sudo apparmor_status

Seznam profilů se může lišit podle operačního systému a nainstalovaných balíčků. Následující výstup se objeví v Ubuntu 17.10. Ukazuje se, že 23 profilů je načteno jako profily AppArmor a všechny jsou ve výchozím nastavení nastaveny jako vynucený režim. Zde jsou profily s vynuceným režimem definovány 3 procesy, dhclient, cups-browsed a cupsd a v režimu stížnosti neexistuje žádný proces. Režim provádění můžete změnit pro libovolný definovaný profil.

Upravit režim profilu

Režim profilu libovolného procesu můžete změnit ze stížnosti na vynucený nebo naopak. Musíte nainstalovat apparmor-utils balíček k provedení této operace. Spusťte následující příkaz a stiskněte 'Y„když požádá o povolení k instalaci.

$ sudo apt-get install apparmor-utils

Existuje název profilu dhclient který je nastaven jako vynucený režim. Spuštěním následujícího příkazu změňte režim na režim stížnosti.

$ sudo aa-stížnost / sbin / dhclient

Nyní, pokud znovu zkontrolujete stav profilů AppArmor, uvidíte, že se režim provádění dhclient změní na režim stížností.

Režim můžete znovu změnit na vynucený pomocí následujícího příkazu.

$ sudo aa-enforce / sbin / dhclient

Cesta k nastavení režimu provádění pro všechny profily AppArmore je / etc / apparmor.d / *.

Spuštěním následujícího příkazu nastavte režim provádění všech profilů v režimu stížnosti:

$ sudo aa-stížnost / etc / apparmor.d / *

Spuštěním následujícího příkazu nastavíte režim provádění všech profilů v vynuceném režimu:

$ sudo aa-enforce / etc / apparmor.d / *

Vytvořte nový profil

Všechny nainstalované programy ve výchozím nastavení nevytvářejí profily AppArmore. Aby byl systém bezpečnější, možná budete muset pro každou konkrétní aplikaci vytvořit profil AppArmore. Chcete-li vytvořit nový profil, musíte zjistit ty programy, které nejsou spojeny s žádným profilem, ale vyžadují zabezpečení. aplikace bez omezení příkaz se používá ke kontrole seznamu. Podle výstupu nejsou první čtyři procesy spojeny s žádným profilem a poslední tři procesy jsou ve výchozím nastavení omezeny třemi profily s vynuceným režimem.

$ sudo aa-unconfined

Předpokládejme, že chcete vytvořit profil procesu NetworkManager, který není omezen. Běh aa-genprof příkaz k vytvoření profilu. Typ 'F'pro dokončení procesu vytváření profilu. Jakýkoli nový profil je ve výchozím nastavení vytvořen v vynuceném režimu. Tento příkaz vytvoří prázdný profil.

$ sudo aa-genprof NetworkManager

Pro jakýkoli nově vytvořený profil nejsou definována žádná pravidla a můžete upravit obsah nového profilu úpravou následujícího souboru a nastavit omezení pro program.

$ sudo cat / etc / apparmor.d / usr.sbin.NetworkManager

Znovu načtěte všechny profily

Po nastavení nebo úpravě libovolného profilu musíte profil znovu načíst. Spuštěním následujícího příkazu znovu načtěte všechny existující profily AppArmor.

$ sudo systemctl znovu načíst apparmor.servis

Aktuálně načtené profily můžete zkontrolovat pomocí následujícího příkazu. Ve výstupu uvidíte položku pro nově vytvořený profil programu NetworkManager.

$ sudo cat / sys / kernel / security / apparmor / profiles

AppArmor je tedy užitečný program, který chrání váš systém nastavením nezbytných omezení pro důležité aplikace.

Hry Top 5 karet pro zachycení hry
Top 5 karet pro zachycení hry
Všichni jsme viděli a milovali streamování her na YouTube. PewDiePie, Jakesepticye a Markiplier jsou jen někteří z nejlepších hráčů, kteří vydělali mi...
Hry Jak vyvíjet hru na Linuxu
Jak vyvíjet hru na Linuxu
Před deseti lety by jen málo uživatelů Linuxu předpovídalo, že jejich oblíbený operační systém bude jednoho dne populární herní platformou pro komerčn...
Hry Porty komerčních her s otevřeným zdrojovým kódem
Porty komerčních her s otevřeným zdrojovým kódem
Zdarma, s otevřeným zdrojovým kódem a multiplatformní herní enginy lze hrát staré i některé z poměrně nedávných herních titulů. Tento článek uvede sez...