Profili di Apparmor su Ubuntu

AppARM, un modulo di sicurezza del kernel Linux, può limitare l'accesso del sistema mediante software installato utilizzando profili specifici dell'applicazione. AppAmor è definito come controllo di accesso obbligatorio o sistema MAC. Alcuni profili sono installati al momento dell'installazione del pacchetto e Apparmor contiene alcuni profili di addizione da pacchetti Apparmor-Profili. Il pacchetto AppAMor è installato su Ubuntu per impostazione predefinita e tutti i profili predefiniti vengono caricati al momento dell'avvio del sistema. I profili contengono l'elenco delle regole di controllo degli accessi che sono archiviate in ecc./AppArmor.D/.

È inoltre possibile proteggere qualsiasi applicazione installata creando un profilo Apparmor di tale applicazione. I profili di AppARM possono essere in una delle due modalità: modalità "lamenta" o modalità "applicazione". Il sistema non applica alcuna regolari e violazioni del profilo sono accettate con i registri in modalità di reclamo. Questa modalità è meglio testare e sviluppare qualsiasi nuovo profilo. Le regole vengono applicate dal sistema in modalità forzata e se si verifica una violazione per qualsiasi profilo dell'applicazione, non sarà consentita alcuna operazione per tale domanda e il registro del report verrà generato in syslog o auditd. Puoi accedere al syslog dalla posizione, /var/log/syslog. Come è possibile controllare i profili Apparmor esistenti del tuo sistema, modificare la modalità profilo e creare un nuovo profilo sono mostrati in questo articolo.

Controlla i profili Apparmor esistenti

Apparmor_status Il comando viene utilizzato per visualizzare l'elenco dei profili APARM caricato con stato. Esegui il comando con l'autorizzazione alla radice.

$ sudo Apparmor_status

L'elenco dei profili può essere variato in base al sistema operativo e ai pacchetti installati. Il seguente output apparirà in Ubuntu 17.10. È mostrato che 23 profili vengono caricati come profili Apparmor e tutti sono impostati come modalità forzata per impostazione predefinita. Qui, 3 processi, dhclient, coppe-browsd e tazze sono definiti dai profili con modalità forzata e non esiste un processo in modalità lamentele. È possibile modificare la modalità di esecuzione per qualsiasi profilo definito.

Modifica la modalità profilo

È possibile modificare la modalità profilo di qualsiasi processo da reclamo a applicazione o viceversa. Devi installare il AppARM-Utils pacchetto per fare questa operazione. Esegui il comando seguente e premi 'Y'Quando chiede l'autorizzazione per l'installazione.

$ sudo apt-get Installa AppARM-Utils

C'è un profilo chiamato dhclient che è impostato come modalità forzata. Esegui il comando seguente per modificare la modalità per reclamare la modalità.

$ sudo aa-complain /sbin /dhclient

Ora, se controlli di nuovo lo stato dei profili Apparmor, vedrai che la modalità di esecuzione di Dhclient viene modificata in Modalità Reclamo.

È possibile modificare nuovamente la modalità in modalità forzata utilizzando il comando seguente.

$ sudo aa-enforce /sbin /dhclient

Il percorso per impostare la modalità di esecuzione per tutti i profili Apparmo /etc/AppAmor.D/*.

Esegui il comando seguente per impostare la modalità di esecuzione di tutti i profili in modalità Reclama:

$ sudo aa-compin /etc /AppAmor.D/*

Esegui il comando seguente per impostare la modalità di esecuzione di tutti i profili in modalità forzata:

$ sudo aa-enforce /etc /AppAmor.D/*

Crea un nuovo profilo

Tutti i programmi installati non creano profili Apparmo per impostazione predefinita. Per mantenere il sistema più sicuro, potrebbe essere necessario creare un profilo AppAMore per una particolare applicazione. Per creare un nuovo profilo devi scoprire quei programmi che non sono associati a nessun profilo ma che hai bisogno di sicurezza. App-App-nonfinata Il comando viene utilizzato per controllare l'elenco. Secondo l'output, i primi quattro processi non sono associati a nessun profilo e gli ultimi tre processi sono limitati da tre profili con modalità applicata per impostazione predefinita.

$ sudo aa-unconfined

Supponiamo che tu voglia creare il profilo per il processo di rete di rete che non è limitato. Correre aa-genprof comanda per creare il profilo. Tipo 'F'Per finire il processo di creazione del profilo. Qualsiasi nuovo profilo viene creato in modalità applicata per impostazione predefinita. Questo comando creerà un profilo vuoto.

$ sudo aa-genprof networkmanager

Nessuna regole Definire per qualsiasi profilo appena creato e è possibile modificare il contenuto del nuovo profilo modificando il seguente file per impostare la restrizione per il programma.

$ sudo cat /etc /Apparmor.d/usr.sbin.Responsabile del network

Ricarica tutti i profili

Dopo aver impostato o modificato qualsiasi profilo, è necessario ricaricare il profilo. Esegui il comando seguente per ricaricare tutti i profili Apparmor esistenti.

$ sudo systemctl ricarica apparmor.servizio

È possibile controllare i profili attualmente caricati utilizzando il comando seguente. Vedrai la voce per il profilo appena creato del programma NetworkManager nell'output.

$ sudo cat/sys/kernel/sicurezza/apparmor/profili

Pertanto, AppAMMor è un programma utile per mantenere il sistema sicuro impostando le restrizioni necessarie per applicazioni importanti.