AppArmor

Профили AppArmor в Ubuntu

Профили AppArmor в Ubuntu

AppArmor, модуль безопасности ядра Linux, может ограничивать доступ к системе с помощью установленного программного обеспечения, используя профили для конкретных приложений.  AppArmor определяется как система обязательного контроля доступа или система MAC. Некоторые профили устанавливаются во время установки пакета, а AppArmor содержит дополнительные профили из пакетов apparmor-profiles. Пакет AppArmor устанавливается в Ubuntu по умолчанию, и все профили по умолчанию загружаются во время запуска системы. Профили содержат список правил контроля доступа, которые хранятся в и т. д. / apparmor.d /.

Вы также можете защитить любое установленное приложение, создав профиль AppArmor для этого приложения. Профили AppArmor могут быть в одном из двух режимов: режим «жалобы» или режим «принудительное применение». Система не применяет никаких правил, и нарушения профиля принимаются с журналами в режиме жалоб. В этом режиме лучше тестировать и разрабатывать любой новый профиль. Правила применяются системой в принудительном режиме, и если какое-либо нарушение произойдет для какого-либо профиля приложения, то для этого приложения не будет разрешено никаких операций, и журнал отчетов будет создан в syslog или auditd. Вы можете получить доступ к системному журналу из местоположения, / var / журнал / системный журнал. В этой статье показано, как вы можете проверить существующие профили AppArmor в вашей системе, изменить режим профиля и создать новый профиль.

Проверить существующие профили AppArmor

apparmor_status команда используется для просмотра списка загруженных профилей AppArmor со статусом. Запустите команду с правами root.

$ sudo apparmor_status

Список профилей может варьироваться в зависимости от операционной системы и установленных пакетов. Следующий результат появится в Ubuntu 17.10. Показано, что 23 профиля загружаются как профили AppArmor, и все они по умолчанию настроены как принудительный режим. Здесь 3 процесса, dhclient, cups-browsed и cupsd определены профилями с принудительным режимом, и в режиме жалоб нет процесса. Вы можете изменить режим выполнения для любого определенного профиля.

Изменить режим профиля

Вы можете изменить режим профиля любого процесса с жалобы на принудительный или наоборот. Вам необходимо установить apparmor-utils пакет для выполнения этой операции. Выполните следующую команду и нажмите 'Y'когда он запрашивает разрешение на установку.

$ sudo apt-get install apparmor-utils

Есть профиль с именем dhclient который установлен как принудительный режим. Выполните следующую команду, чтобы изменить режим на режим жалобы.

$ sudo aa-жалоба / sbin / dhclient

Теперь, если вы снова проверите статус профилей AppArmor, вы увидите, что режим выполнения dhclient изменен на режим жалобы.

Вы можете снова изменить режим на принудительный, используя следующую команду.

$ sudo aa-enforce / sbin / dhclient

Путь для установки режима выполнения для всех профилей AppArmore: / etc / apparmor.d / *.

Выполните следующую команду, чтобы установить режим выполнения всех профилей в режиме жалобы:

$ судо аа-жаловаться / etc / apparmor.d / *

Выполните следующую команду, чтобы установить режим выполнения всех профилей в принудительном режиме:

$ sudo aa-enforce / etc / apparmor.d / *

Создать новый профиль

Все установленные программы по умолчанию не создают профили AppArmore. Чтобы сделать систему более безопасной, вам может потребоваться создать профиль AppArmore для любого конкретного приложения. Чтобы создать новый профиль, вы должны найти те программы, которые не связаны с каким-либо профилем, но нуждаются в безопасности. приложение без ограничений команда используется для проверки списка. Согласно выходным данным, первые четыре процесса не связаны с каким-либо профилем, а последние три процесса ограничены тремя профилями с принудительным режимом по умолчанию.

$ sudo aa-неограниченный

Предположим, вы хотите создать профиль для процесса NetworkManager, который не ограничен. Запустить аа-генпроф команда для создания профиля. Тип 'F'чтобы завершить процесс создания профиля. Любой новый профиль по умолчанию создается в принудительном режиме. Эта команда создаст пустой профиль.

$ sudo aa-genprof NetworkManager

Для вновь созданного профиля правила не определены, и вы можете изменить содержимое нового профиля, отредактировав следующий файл, чтобы установить ограничения для программы.

$ sudo cat / etc / apparmor.d / usr.sbin.Сетевой менеджер

Обновить все профили

После настройки или изменения любого профиля вам необходимо перезагрузить профиль. Выполните следующую команду, чтобы перезагрузить все существующие профили AppArmor.

$ sudo systemctl перезагрузить приложение.услуга

Вы можете проверить загруженные в данный момент профили с помощью следующей команды. В выводе вы увидите запись для вновь созданного профиля программы NetworkManager.

$ sudo cat / sys / kernel / security / apparmor / профили

Итак, AppArmor - полезная программа для обеспечения безопасности вашей системы, устанавливая необходимые ограничения для важных приложений.

Игры Как разработать игру в Linux
Как разработать игру в Linux
Десять лет назад не многие пользователи Linux могли бы предсказать, что их любимая операционная система однажды станет популярной игровой платформой д...
Игры Порты коммерческих игровых движков с открытым исходным кодом
Порты коммерческих игровых движков с открытым исходным кодом
Бесплатные игры с открытым исходным кодом и кроссплатформенные версии игрового движка можно использовать для игры как в старые, так и в некоторые из с...
Игры Лучшие игры с командной строкой для Linux
Лучшие игры с командной строкой для Linux
Командная строка - не только ваш главный союзник при использовании Linux - она ​​также может быть источником развлечений, потому что вы можете использ...