AppArmor

AppArmor-profiler på Ubuntu

AppArmor-profiler på Ubuntu

AppArmor, en Linux Kernel Security Module, kan begrense systemtilgang med installert programvare ved hjelp av applikasjonsspesifikke profiler.  AppArmor er definert som obligatorisk tilgangskontroll eller MAC-system. Noen profiler installeres på tidspunktet for installasjon av pakken, og AppArmor inneholder noen tilleggsprofiler fra apparmor-profilpakker. AppArmor-pakken er installert på Ubuntu som standard, og alle standardprofiler lastes inn når systemet startes opp. Profilene inneholder listen over tilgangskontrollregler som er lagret i etc / apparmor.d /.

Du kan også beskytte alle installerte applikasjoner ved å opprette en AppArmor-profil for applikasjonen. AppArmor-profiler kan være i en av to moduser: 'klagemodus' eller 'håndhevings' -modus. Systemet håndhever ingen regler og profilbrudd godtas med logger når de er i klagemodus. Denne modusen er bedre å teste og utvikle en ny profil. Reglene håndheves av systemet i håndhevet modus, og hvis det oppstår brudd på en applikasjonsprofil, vil ingen operasjoner være tillatt for det programmet, og rapportloggen vil bli generert i syslog eller auditd. Du kan få tilgang til sysloggen fra stedet, / var / log / syslog. Hvordan du kan sjekke de eksisterende AppArmor-profilene på systemet ditt, endre profilmodus og opprette en ny profil vises i denne artikkelen.

Sjekk eksisterende AppArmor-profiler

apparmor_status kommandoen brukes til å vise den lastede listen over AppArmor-profiler med status. Kjør kommandoen med rottillatelse.

$ sudo apparmor_status

Profillisten kan varieres i henhold til operativsystemet og installerte pakker. Følgende utdata vises i Ubuntu 17.10. Det er vist at 23 profiler er lastet inn som AppArmor-profiler, og alle er satt som håndhevet modus som standard. Her er 3 prosesser, dhclient, cups-browsed og cupsd definert av profilene med håndhevet modus, og det er ingen prosess i klagemodus. Du kan endre kjøringsmodus for hvilken som helst definert profil.

Endre profilmodus

Du kan endre profilmodus for enhver prosess fra klage til håndhevet eller omvendt. Du må installere apparmor-utils pakke for å utføre denne operasjonen. Kjør følgende kommando og trykk 'Y'når den ber om tillatelse til å installere.

$ sudo apt-get install apparmor-utils

Det er en profil som heter dhclient som er satt som håndhevet modus. Kjør følgende kommando for å endre modus til klagemodus.

$ sudo aa-klage / sbin / dhclient

Nå, hvis du sjekker statusen til AppArmor-profilene igjen, vil du se kjøringsmodusen til dhclient er endret til klagemodus.

Du kan igjen endre modus til håndhevet modus ved å bruke følgende kommando.

$ sudo aa-enforce / sbin / dhclient

Banen for å angi kjøringsmodus for alle AppArmore-profilene er / etc / apparmor.d / *.

Kjør følgende kommando for å sette kjøringsmodus for alle profiler i klagemodus:

$ sudo aa-klage / etc / apparmor.d / *

Kjør følgende kommando for å angi kjøringsmodus for alle profiler i håndhevet modus:

$ sudo aa-enforce / etc / apparmor.d / *

Opprett en ny profil

Alle installerte programmer oppretter ikke AppArmore-profiler som standard. For å holde systemet sikrere, må du kanskje opprette en AppArmore-profil for et bestemt program. For å opprette en ny profil må du finne ut hvilke programmer som ikke er tilknyttet noen profil, men som trenger sikkerhet. app-ubegrenset kommandoen brukes til å sjekke listen. I følge utdataene er de fire første prosessene ikke tilknyttet noen profil, og de siste tre prosessene er begrenset av tre profiler med håndhevet modus som standard.

$ sudo aa-unconfined

Anta at du vil opprette profilen for NetworkManager-prosessen som ikke er begrenset. Løpe aa-genprof kommando for å opprette profilen. Skriv inn 'F'for å fullføre prosessen med å opprette profil. Enhver ny profil opprettes i håndhevet modus som standard. Denne kommandoen vil opprette en tom profil.

$ sudo aa-genprof NetworkManager

Ingen regler defineres for noen nylig opprettet profil, og du kan endre innholdet i den nye profilen ved å redigere følgende fil for å sette begrensninger for programmet.

$ sudo cat / etc / apparmor.d / usr.sbin.NetworkManager

Last alle profilene på nytt

Når du har angitt eller endret en profil, må du laste inn profilen på nytt. Kjør følgende kommando for å laste alle eksisterende AppArmor-profiler på nytt.

$ sudo systemctl last inn apparmor.service

Du kan sjekke de lastede profilene ved å bruke følgende kommando. Du vil se oppføringen for den nyopprettede profilen til NetworkManager-programmet i utdataene.

$ sudo cat / sys / kjerne / sikkerhet / apparmor / profiler

Så AppArmor er et nyttig program for å holde systemet ditt trygt ved å sette nødvendige begrensninger for viktige applikasjoner.

Spill OpenTTD vs Simutrans
OpenTTD vs Simutrans
Å lage din egen transportsimulering kan være morsom, avslappende og ekstremt fristende. Derfor må du sørge for at du prøver så mange spill som mulig f...
Spill OpenTTD Tutorial
OpenTTD Tutorial
OpenTTD er et av de mest populære forretningssimuleringsspillene der ute. I dette spillet må du lage en fantastisk transportvirksomhet. Du begynner im...
Spill SuperTuxKart for Linux
SuperTuxKart for Linux
SuperTuxKart er en flott tittel designet for å gi deg Mario Kart-opplevelsen gratis på Linux-systemet ditt. Det er ganske utfordrende og morsomt å spi...