AppArmor

AppArmor-profiler på Ubuntu

AppArmor-profiler på Ubuntu

AppArmor, et Linux Kernel Security Module, kan begrænse systemadgang ved installeret software ved hjælp af applikationsspecifikke profiler.  AppArmor er defineret som obligatorisk adgangskontrol eller MAC-system. Nogle profiler installeres på tidspunktet for pakkeinstallationen, og AppArmor indeholder nogle tilføjelsesprofiler fra apparmor-profilerpakker. AppArmor-pakken er installeret på Ubuntu som standard, og alle standardprofiler indlæses på tidspunktet for systemstart. Profilerne indeholder listen over adgangskontrolregler, der er gemt i etc / apparmor.d /.

Du kan også beskytte ethvert installeret program ved at oprette en AppArmor-profil for den pågældende applikation. AppArmor-profiler kan være i en af ​​to tilstande: tilstanden 'klage' eller 'håndhævelse'. Systemet håndhæver ingen regler, og profilovertrædelser accepteres med logfiler i klagemåde. Denne tilstand er bedre til at teste og udvikle enhver ny profil. Reglerne håndhæves af systemet i håndhævet tilstand, og hvis der opstår en overtrædelse af en applikationsprofil, er ingen handling tilladt for den applikation, og rapportloggen genereres i syslog eller auditd. Du kan få adgang til syslog fra placeringen, / var / log / syslog. Hvordan du kan kontrollere de eksisterende AppArmor-profiler på dit system, ændre profiltilstand og oprette en ny profil vises i denne artikel.

Kontroller eksisterende AppArmor-profiler

apparmor_status kommando bruges til at se den indlæste liste over AppArmor-profiler med status. Kør kommandoen med rodtilladelse.

$ sudo apparmor_status

Profillisten kan varieres alt efter operativsystem og installerede pakker. Følgende output vises i Ubuntu 17.10. Det vises, at 23 profiler indlæses som AppArmor-profiler, og at alle som standard er indstillet som tvungen tilstand. Her defineres 3 processer, dhclient, cups-browsed og cupsd af profiler med tvungen tilstand, og der er ingen proces i klagemodus. Du kan ændre udførelsestilstanden for enhver defineret profil.

Rediger profiltilstand

Du kan ændre profiltilstanden for enhver proces fra klage til håndhævet eller omvendt. Du skal installere apparmor-værktøjer pakke til at udføre denne handling. Kør følgende kommando og tryk på 'Y'når det beder om tilladelse til installation.

$ sudo apt-get install apparmor-utils

Der er en profil, der hedder dhclient som er indstillet som tvungen tilstand. Kør følgende kommando for at skifte tilstand til klagemodus.

$ sudo aa-klage / sbin / dhclient

Hvis du nu kontrollerer status for AppArmor-profiler igen, vil du se, at udførelsestilstanden for dhclient ændres til klagemodus.

Du kan igen ændre tilstanden til tvungen tilstand ved hjælp af følgende kommando.

$ sudo aa-enforce / sbin / dhclient

Stien til at indstille udførelsestilstanden for alle AppArmore-profiler er / etc / apparmor.d / *.

Kør følgende kommando for at indstille eksekveringstilstanden for alle profiler i klagemodus:

$ sudo aa-klage / etc / apparmor.d / *

Kør følgende kommando for at indstille udførelsestilstanden for alle profiler i tvungen tilstand:

$ sudo aa-enforce / etc / apparmor.d / *

Opret en ny profil

Alle installerede programmer opretter ikke AppArmore-profiler som standard. For at holde systemet mere sikkert skal du muligvis oprette en AppArmore-profil til en bestemt applikation. For at oprette en ny profil skal du finde ud af de programmer, der ikke er knyttet til nogen profil, men som har brug for sikkerhed. app-ubegrænset kommando bruges til at kontrollere listen. Ifølge output er de første fire processer ikke forbundet med nogen profil, og de sidste tre processer er begrænset af tre profiler med tvungen tilstand som standard.

$ sudo aa-ubegrænset

Antag, at du vil oprette profilen til NetworkManager-processen, som ikke er begrænset. Løb aa-genprof kommando for at oprette profilen. Skriv 'F'for at afslutte oprettelsen af ​​profilen. Enhver ny profil oprettes som standard i håndhævet tilstand. Denne kommando opretter en tom profil.

$ sudo aa-genprof NetworkManager

Ingen regler defineres for nogen nyoprettet profil, og du kan ændre indholdet af den nye profil ved at redigere følgende fil for at indstille begrænsning for programmet.

$ sudo cat / etc / apparmor.d / usr.sbin.NetworkManager

Genindlæs alle profiler

Når du har indstillet eller ændret en profil, skal du genindlæse profilen. Kør følgende kommando for at genindlæse alle eksisterende AppArmor-profiler.

$ sudo systemctl genindlæs apparmor.service

Du kan kontrollere de aktuelt indlæste profiler ved hjælp af følgende kommando. Du vil se posten for den nyoprettede profil af NetworkManager-programmet i output.

$ sudo cat / sys / kerne / sikkerhed / apparmor / profiler

Så AppArmor er et nyttigt program til at holde dit system sikkert ved at indstille nødvendige begrænsninger for vigtige applikationer.

Spil Nyttige værktøjer til Linux-spillere
Nyttige værktøjer til Linux-spillere
Hvis du kan lide at spille spil på Linux, er chancerne for, at du måske har brugt apps og hjælpeprogrammer som Wine, Lutris og OBS Studio for at forbe...
Spil HD Remastered-spil til Linux, der aldrig tidligere havde haft en Linux-udgivelse
HD Remastered-spil til Linux, der aldrig tidligere havde haft en Linux-udgivelse
Mange spiludviklere og udgivere kommer med HD-remaster af gamle spil for at forlænge franchisens levetid. Venligst fans, der anmoder om kompatibilitet...
Spil Sådan bruges AutoKey til at automatisere Linux-spil
Sådan bruges AutoKey til at automatisere Linux-spil
AutoKey er et desktopautomatiseringsværktøj til Linux og X11, programmeret i Python 3, GTK og Qt. Ved hjælp af dets scripting og MACRO-funktionalitet ...