AppArmor

Профили на AppArmor в Ubuntu

Профили на AppArmor в Ubuntu

AppArmor, модул за защита на ядрото на Linux, може да ограничи достъпа до системата чрез инсталиран софтуер, използвайки специфични за приложението профили.  AppArmor се определя като задължителен контрол на достъпа или MAC система. Някои профили се инсталират по време на инсталирането на пакета, а AppArmor съдържа някои добавящи профили от пакетите на apparmor-profile. Пакетът AppArmor е инсталиран на Ubuntu по подразбиране и всички профили по подразбиране се зареждат по време на стартиране на системата. Профилите съдържат списъка с правила за контрол на достъпа, които се съхраняват в и т.н. / apparmor.д/.

Можете също така да защитите всяко инсталирано приложение, като създадете профил на AppArmor на това приложение. Профилите на AppArmor могат да бъдат в един от двата режима: режим „оплакване“ или режим „налагане“. Системата не прилага никакви правила и нарушенията на профила се приемат с регистрационни файлове, когато са в режим на оплакване. Този режим е по-добре да тествате и развивате всеки нов профил. Правилата се налагат от системата в принудителен режим и ако възникне нарушение за който и да е профил на приложение, тогава няма да бъде разрешена операция за това приложение и регистърът на отчетите ще бъде генериран в syslog или auditd. Можете да получите достъп до системния дневник от местоположението, / var / log / syslog. Как можете да проверите съществуващите профили на AppArmor на вашата система, да промените режима на профила и да създадете нов профил са показани в тази статия.

Проверете съществуващите профили на AppArmor

apparmor_status команда се използва за преглед на заредения списък с профили на AppArmor със статус. Изпълнете командата с разрешение на root.

$ sudo apparmor_status

Списъкът с профили може да варира според операционната система и инсталираните пакети. Следният изход ще се появи в Ubuntu 17.10. Показано е, че 23 профила са заредени като AppArmor профили и всички са зададени като принудителен режим по подразбиране. Тук 3 процеса, dhclient, cups-browsed и cupsd се дефинират от профилите с принудителен режим и няма процес в режим на оплакване. Можете да промените режима на изпълнение за всеки дефиниран профил.

Промяна на режима на профила

Можете да промените режима на профила на всеки процес от жалба на принудителен или обратно. Трябва да инсталирате apparmor-utils пакет, за да направите тази операция. Изпълнете следната команда и натиснете 'Y„когато поиска разрешение за инсталиране.

$ sudo apt-get инсталирайте apparmor-utils

Има профил с име dhclient което е зададено като принудителен режим. Изпълнете следната команда, за да промените режима на режим на оплакване.

$ sudo aa-оплакване / sbin / dhclient

Сега, ако проверите отново състоянието на профилите в AppArmor, ще видите, че режимът на изпълнение на dhclient е променен на режим на оплакване.

Можете отново да промените режима на принудителен, като използвате следната команда.

$ sudo aa-налагане / sbin / dhclient

Пътят за задаване на режим на изпълнение за всички профили на AppArmore е / etc / apparmor.д/*.

Изпълнете следната команда, за да зададете режима на изпълнение на всички профили в режим на оплакване:

$ sudo aa-оплакване / etc / apparmor.д/*

Изпълнете следната команда, за да зададете режима на изпълнение на всички профили в принудителен режим:

$ sudo aa-force / etc / apparmor.д/*

Създайте нов профил

Всички инсталирани програми не създават профили на AppArmore по подразбиране. За да поддържате системата по-сигурна, може да се наложи да създадете профил в AppArmore за всяко конкретно приложение. За да създадете нов профил, трябва да откриете онези програми, които не са свързани с нито един профил, но се нуждаят от сигурност. app-unconfined команда се използва за проверка на списъка. Според резултата, първите четири процеса не са свързани с нито един профил, а последните три процеса са ограничени от три профила с принуден режим по подразбиране.

$ sudo aa-unconfined

Да предположим, че искате да създадете профила за процеса NetworkManager, който не е ограничен. Бягай aa-genprof команда за създаване на профила. Тип 'F', за да завършите процеса на създаване на профил. Всеки нов профил се създава в принудителен режим по подразбиране. Тази команда ще създаде празен профил.

$ sudo aa-genprof NetworkManager

Няма правила за всеки новосъздаден профил и можете да модифицирате съдържанието на новия профил, като редактирате следния файл, за да зададете ограничение за програмата.

$ sudo cat / etc / apparmor.г / usr.sbin.NetworkManager

Презаредете всички профили

След настройка или модификация на който и да е профил трябва да презаредите профила. Изпълнете следната команда, за да презаредите всички съществуващи профили на AppArmor.

$ sudo systemctl презареди приложението.обслужване

Можете да проверите в момента заредените профили, като използвате следната команда. Ще видите записа за новосъздадения профил на програмата NetworkManager в изхода.

$ sudo cat / sys / ядро ​​/ сигурност / apparmor / профили

И така, AppArmor е полезна програма за защита на системата ви, като зададете необходимите ограничения за важни приложения.

Игри Как да инсталирате и играете Doom на Linux
Как да инсталирате и играете Doom на Linux
Въведение в Doom Серията Doom възниква през 90-те години след пускането на оригиналния Doom. Това беше незабавен хит и от този момент нататък серията ...
Игри Vulkan за потребители на Linux
Vulkan за потребители на Linux
С всяко ново поколение графични карти виждаме, че разработчиците на игри преместват границите на графичната вярност и се приближават една крачка до фо...
Игри OpenTTD срещу Simutrans
OpenTTD срещу Simutrans
Създаването на собствена транспортна симулация може да бъде забавно, релаксиращо и изключително примамливо. Ето защо трябва да сте сигурни, че изпробв...