AppArmor

AppArmor-profilok az Ubuntuban

AppArmor-profilok az Ubuntuban

Az AppArmor, a Linux Kernel Security Module, az alkalmazásspecifikus profilok használatával korlátozhatja a telepített szoftverek hozzáférését a rendszerhez.  Az AppArmor meghatározása kötelező hozzáférés-vezérlés vagy MAC rendszer. Néhány profilt a csomag telepítésekor telepítenek, és az AppArmor tartalmaz néhány kiegészítő profilt az apparmor-profil csomagokból. Az AppArmor csomag alapértelmezés szerint telepítve van az Ubuntura, és az összes alapértelmezett profil betöltődik a rendszer indításakor. A profilok tartalmazzák a hozzáférési ellenőrzési szabályok listáját, amelyeket a rendszer tárol etc / apparmor.d /.

Bármely telepített alkalmazást megvédhet az alkalmazás AppArmor profiljának létrehozásával. Az AppArmor profilok kétféle módban működhetnek: „panasz” vagy „végrehajtás”. A rendszer nem érvényesít semmilyen szabályt, és a profilsértéseket a naplók elfogadják panasz módban. Ez a mód jobb, ha bármilyen új profilt tesztel és fejleszt. A szabályokat a rendszer kényszerített módban hajtja végre, és ha bármely alkalmazásprofilnál bármilyen megsértés történik, akkor az adott alkalmazás számára nem engedélyezett semmilyen művelet, és a jelentési napló a syslogban vagy az auditd-ben jön létre. A syslogot a helyről érheti el, / var / log / syslog. Ez a cikk bemutatja, hogyan ellenőrizheti a rendszer meglévő AppArmor profiljait, módosíthatja a profil módját és új profilt hozhat létre.

Jelölje be a Meglévő AppArmor profilokat

apparmor_status paranccsal megtekinthető a feltöltött AppArmor profilok listája állapottal. Futtassa a parancsot root jogosultsággal.

$ sudo apparmor_status

A profilok listája az operációs rendszer és a telepített csomagok szerint változtatható. A következő kimenet jelenik meg az Ubuntu 17-ben.10. Megmutatja, hogy 23 profil AppArmor profilként van betöltve, és mindegyik alapértelmezés szerint kényszerített módként van beállítva. Itt 3 folyamatot, a dhclient, a csészében böngészett és a cupsd értékeket a kényszerített módú profilok határozzák meg, és panasz módban nincs folyamat. Bármely definiált profil végrehajtási módját megváltoztathatja.

Profil mód módosítása

Bármely folyamat profilmódját megváltoztathatja panaszról végrehajtásra vagy fordítva. Telepítenie kell a apparmor-utils csomagot a művelet elvégzéséhez. Futtassa a következő parancsot, és nyomja meg a 'Yamikor engedélyt kér a telepítéshez.

$ sudo apt-get install apparmor-utils

Van egy profil neve dhclient amelyet kényszerített módként állítanak be. Futtassa a következő parancsot az üzemmód panaszos üzemmódra váltásához.

$ sudo aa-reklamál / sbin / dhclient

Most, ha újra ellenőrzi az AppArmor profilok állapotát, látni fogja, hogy a dhclient végrehajtási módja panasz módra változik.

A következő paranccsal újra módosíthatja az üzemmódot kényszerített módra.

$ sudo aa-enforce / sbin / dhclient

A végrehajtási mód beállításának útvonala az összes AppArmore profil számára a következő / etc / apparmor.d / *.

Futtassa a következő parancsot az összes profil végrehajtási módjának beállításához panasz módban:

$ sudo aa-reklamál / etc / apparmor.d / *

Futtassa a következő parancsot az összes profil végrehajtási módjának kikényszerített módban történő beállításához:

$ sudo aa-enforce / etc / apparmor.d / *

Hozzon létre egy új profilt

Az összes telepített program alapértelmezés szerint nem hoz létre AppArmore-profilokat. A rendszer biztonságának megőrzése érdekében előfordulhat, hogy létre kell hoznia egy AppArmore-profilt az adott alkalmazáshoz. Új profil létrehozásához meg kell találnia azokat a programokat, amelyek nem kapcsolódnak egyetlen profilhoz sem, de biztonságra van szükségük. app-unconfined paranccsal ellenőrizhető a lista. A kimenet szerint az első négy folyamat nem kapcsolódik egyetlen profilhoz sem, az utolsó három folyamatot pedig három profil korlátozza alapértelmezés szerint kényszerített móddal.

$ sudo aa-unconfined

Tegyük fel, hogy a NetworkManager folyamat profilját szeretné létrehozni, amely nem korlátozott. Fuss aa-genprof parancsot a profil létrehozásához. Típus 'F'a profil létrehozásának befejezéséhez. Minden új profil alapértelmezés szerint kényszerített módban jön létre. Ez a parancs üres profilt hoz létre.

$ sudo aa-genprof NetworkManager

Az újonnan létrehozott profilokhoz nincs meghatározva szabály, és az új fájl tartalmát a következő fájl szerkesztésével módosíthatja a program korlátozásának beállításához.

$ sudo cat / etc / apparmor.d / usr.sbin.Hálózati menedzser

Töltse be újra az összes profilt

Bármely profil beállítása vagy módosítása után újra be kell töltenie a profilt. Az összes meglévő AppArmor-profil újratöltéséhez futtassa a következő parancsot.

$ sudo systemctl töltse be újra az apparmort.szolgáltatás

Az aktuálisan betöltött profilokat a következő paranccsal ellenőrizheti. A kimenetben megjelenik a NetworkManager program újonnan létrehozott profiljának bejegyzése.

$ sudo cat / sys / kernel / security / apparmor / profilok

Tehát az AppArmor egy hasznos program a rendszer biztonságának megőrzéséhez a szükséges alkalmazások korlátozásainak megadásával.

Játékok Ingyenes és nyílt forráskódú játékmotorok a Linux játékok fejlesztéséhez
Ingyenes és nyílt forráskódú játékmotorok a Linux játékok fejlesztéséhez
Ez a cikk felsorolja azokat az ingyenes és nyílt forráskódú játékmotorokat, amelyek felhasználhatók 2D és 3D játékok fejlesztésére Linuxon. Számos ily...
Játékok Shadow of the Tomb Raider for Linux Tutorial
Shadow of the Tomb Raider for Linux Tutorial
A Shadow of the Tomb Raider a Tomb Raider sorozat tizenkettedik kiegészítője - az Eidos Montreal által létrehozott akció-kaland játék franchise. A ját...
Játékok Az FPS növelése Linux alatt?
Az FPS növelése Linux alatt?
Az FPS jelentése Képkocka másodpercenként. Az FPS feladata a videolejátszások vagy játékteljesítmények képkockasebességének mérése. Egyszerű szavakkal...