AppArmor, et Linux Kernel Security Module, kan begrænse systemadgang ved installeret software ved hjælp af applikationsspecifikke profiler. AppArmor er defineret som obligatorisk adgangskontrol eller MAC-system. Nogle profiler installeres på tidspunktet for pakkeinstallationen, og AppArmor indeholder nogle tilføjelsesprofiler fra apparmor-profilerpakker. AppArmor-pakken er installeret på Ubuntu som standard, og alle standardprofiler indlæses på tidspunktet for systemstart. Profilerne indeholder listen over adgangskontrolregler, der er gemt i etc / apparmor.d /.
Du kan også beskytte ethvert installeret program ved at oprette en AppArmor-profil for den pågældende applikation. AppArmor-profiler kan være i en af to tilstande: tilstanden 'klage' eller 'håndhævelse'. Systemet håndhæver ingen regler, og profilovertrædelser accepteres med logfiler i klagemåde. Denne tilstand er bedre til at teste og udvikle enhver ny profil. Reglerne håndhæves af systemet i håndhævet tilstand, og hvis der opstår en overtrædelse af en applikationsprofil, er ingen handling tilladt for den applikation, og rapportloggen genereres i syslog eller auditd. Du kan få adgang til syslog fra placeringen, / var / log / syslog
. Hvordan du kan kontrollere de eksisterende AppArmor-profiler på dit system, ændre profiltilstand og oprette en ny profil vises i denne artikel.
Kontroller eksisterende AppArmor-profiler
apparmor_status kommando bruges til at se den indlæste liste over AppArmor-profiler med status. Kør kommandoen med rodtilladelse.
$ sudo apparmor_status
Profillisten kan varieres alt efter operativsystem og installerede pakker. Følgende output vises i Ubuntu 17.10. Det vises, at 23 profiler indlæses som AppArmor-profiler, og at alle som standard er indstillet som tvungen tilstand. Her defineres 3 processer, dhclient, cups-browsed og cupsd af profiler med tvungen tilstand, og der er ingen proces i klagemodus. Du kan ændre udførelsestilstanden for enhver defineret profil.
Rediger profiltilstand
Du kan ændre profiltilstanden for enhver proces fra klage til håndhævet eller omvendt. Du skal installere apparmor-værktøjer pakke til at udføre denne handling. Kør følgende kommando og tryk på 'Y'når det beder om tilladelse til installation.
$ sudo apt-get install apparmor-utils
Der er en profil, der hedder dhclient som er indstillet som tvungen tilstand. Kør følgende kommando for at skifte tilstand til klagemodus.
$ sudo aa-klage / sbin / dhclient
Hvis du nu kontrollerer status for AppArmor-profiler igen, vil du se, at udførelsestilstanden for dhclient ændres til klagemodus.
Du kan igen ændre tilstanden til tvungen tilstand ved hjælp af følgende kommando.
$ sudo aa-enforce / sbin / dhclient
Stien til at indstille udførelsestilstanden for alle AppArmore-profiler er / etc / apparmor.d / *.
Kør følgende kommando for at indstille eksekveringstilstanden for alle profiler i klagemodus:
$ sudo aa-klage / etc / apparmor.d / *Kør følgende kommando for at indstille udførelsestilstanden for alle profiler i tvungen tilstand:
$ sudo aa-enforce / etc / apparmor.d / *Opret en ny profil
Alle installerede programmer opretter ikke AppArmore-profiler som standard. For at holde systemet mere sikkert skal du muligvis oprette en AppArmore-profil til en bestemt applikation. For at oprette en ny profil skal du finde ud af de programmer, der ikke er knyttet til nogen profil, men som har brug for sikkerhed. app-ubegrænset kommando bruges til at kontrollere listen. Ifølge output er de første fire processer ikke forbundet med nogen profil, og de sidste tre processer er begrænset af tre profiler med tvungen tilstand som standard.
$ sudo aa-ubegrænset
Antag, at du vil oprette profilen til NetworkManager-processen, som ikke er begrænset. Løb aa-genprof kommando for at oprette profilen. Skriv 'F'for at afslutte oprettelsen af profilen. Enhver ny profil oprettes som standard i håndhævet tilstand. Denne kommando opretter en tom profil.
$ sudo aa-genprof NetworkManager
Ingen regler defineres for nogen nyoprettet profil, og du kan ændre indholdet af den nye profil ved at redigere følgende fil for at indstille begrænsning for programmet.
$ sudo cat / etc / apparmor.d / usr.sbin.NetworkManager
Genindlæs alle profiler
Når du har indstillet eller ændret en profil, skal du genindlæse profilen. Kør følgende kommando for at genindlæse alle eksisterende AppArmor-profiler.
$ sudo systemctl genindlæs apparmor.serviceDu kan kontrollere de aktuelt indlæste profiler ved hjælp af følgende kommando. Du vil se posten for den nyoprettede profil af NetworkManager-programmet i output.
$ sudo cat / sys / kerne / sikkerhed / apparmor / profiler
Så AppArmor er et nyttigt program til at holde dit system sikkert ved at indstille nødvendige begrænsninger for vigtige applikationer.