AppArmor, en Linux Kernel Security Module, kan begrense systemtilgang med installert programvare ved hjelp av applikasjonsspesifikke profiler. AppArmor er definert som obligatorisk tilgangskontroll eller MAC-system. Noen profiler installeres på tidspunktet for installasjon av pakken, og AppArmor inneholder noen tilleggsprofiler fra apparmor-profilpakker. AppArmor-pakken er installert på Ubuntu som standard, og alle standardprofiler lastes inn når systemet startes opp. Profilene inneholder listen over tilgangskontrollregler som er lagret i etc / apparmor.d /.
Du kan også beskytte alle installerte applikasjoner ved å opprette en AppArmor-profil for applikasjonen. AppArmor-profiler kan være i en av to moduser: 'klagemodus' eller 'håndhevings' -modus. Systemet håndhever ingen regler og profilbrudd godtas med logger når de er i klagemodus. Denne modusen er bedre å teste og utvikle en ny profil. Reglene håndheves av systemet i håndhevet modus, og hvis det oppstår brudd på en applikasjonsprofil, vil ingen operasjoner være tillatt for det programmet, og rapportloggen vil bli generert i syslog eller auditd. Du kan få tilgang til sysloggen fra stedet, / var / log / syslog
. Hvordan du kan sjekke de eksisterende AppArmor-profilene på systemet ditt, endre profilmodus og opprette en ny profil vises i denne artikkelen.
Sjekk eksisterende AppArmor-profiler
apparmor_status kommandoen brukes til å vise den lastede listen over AppArmor-profiler med status. Kjør kommandoen med rottillatelse.
$ sudo apparmor_status
Profillisten kan varieres i henhold til operativsystemet og installerte pakker. Følgende utdata vises i Ubuntu 17.10. Det er vist at 23 profiler er lastet inn som AppArmor-profiler, og alle er satt som håndhevet modus som standard. Her er 3 prosesser, dhclient, cups-browsed og cupsd definert av profilene med håndhevet modus, og det er ingen prosess i klagemodus. Du kan endre kjøringsmodus for hvilken som helst definert profil.
Endre profilmodus
Du kan endre profilmodus for enhver prosess fra klage til håndhevet eller omvendt. Du må installere apparmor-utils pakke for å utføre denne operasjonen. Kjør følgende kommando og trykk 'Y'når den ber om tillatelse til å installere.
$ sudo apt-get install apparmor-utils
Det er en profil som heter dhclient som er satt som håndhevet modus. Kjør følgende kommando for å endre modus til klagemodus.
$ sudo aa-klage / sbin / dhclient
Nå, hvis du sjekker statusen til AppArmor-profilene igjen, vil du se kjøringsmodusen til dhclient er endret til klagemodus.
Du kan igjen endre modus til håndhevet modus ved å bruke følgende kommando.
$ sudo aa-enforce / sbin / dhclient
Banen for å angi kjøringsmodus for alle AppArmore-profilene er / etc / apparmor.d / *.
Kjør følgende kommando for å sette kjøringsmodus for alle profiler i klagemodus:
$ sudo aa-klage / etc / apparmor.d / *Kjør følgende kommando for å angi kjøringsmodus for alle profiler i håndhevet modus:
$ sudo aa-enforce / etc / apparmor.d / *Opprett en ny profil
Alle installerte programmer oppretter ikke AppArmore-profiler som standard. For å holde systemet sikrere, må du kanskje opprette en AppArmore-profil for et bestemt program. For å opprette en ny profil må du finne ut hvilke programmer som ikke er tilknyttet noen profil, men som trenger sikkerhet. app-ubegrenset kommandoen brukes til å sjekke listen. I følge utdataene er de fire første prosessene ikke tilknyttet noen profil, og de siste tre prosessene er begrenset av tre profiler med håndhevet modus som standard.
$ sudo aa-unconfined
Anta at du vil opprette profilen for NetworkManager-prosessen som ikke er begrenset. Løpe aa-genprof kommando for å opprette profilen. Skriv inn 'F'for å fullføre prosessen med å opprette profil. Enhver ny profil opprettes i håndhevet modus som standard. Denne kommandoen vil opprette en tom profil.
$ sudo aa-genprof NetworkManager
Ingen regler defineres for noen nylig opprettet profil, og du kan endre innholdet i den nye profilen ved å redigere følgende fil for å sette begrensninger for programmet.
$ sudo cat / etc / apparmor.d / usr.sbin.NetworkManager
Last alle profilene på nytt
Når du har angitt eller endret en profil, må du laste inn profilen på nytt. Kjør følgende kommando for å laste alle eksisterende AppArmor-profiler på nytt.
$ sudo systemctl last inn apparmor.serviceDu kan sjekke de lastede profilene ved å bruke følgende kommando. Du vil se oppføringen for den nyopprettede profilen til NetworkManager-programmet i utdataene.
$ sudo cat / sys / kjerne / sikkerhet / apparmor / profiler
Så AppArmor er et nyttig program for å holde systemet ditt trygt ved å sette nødvendige begrensninger for viktige applikasjoner.