AppArmor

AppArmor-profielen op Ubuntu

AppArmor-profielen op Ubuntu

AppArmor, een Linux Kernel Security Module, kan systeemtoegang beperken door geïnstalleerde software met toepassingsspecifieke profielen.  AppArmor is gedefinieerd als Verplicht Toegangscontrole of MAC-systeem. Sommige profielen worden geïnstalleerd op het moment van installatie van het pakket en AppArmor bevat enkele aanvullende profielen uit apparmor-profiles-pakketten. Het AppArmor-pakket is standaard op Ubuntu geïnstalleerd en alle standaardprofielen worden geladen bij het opstarten van het systeem. De profielen bevatten de lijst met regels voor toegangscontrole die zijn opgeslagen in etc/kledingarm.d/.

U kunt ook elke geïnstalleerde toepassing beschermen door een AppArmor-profiel van die toepassing te maken. AppArmor-profielen kunnen in twee modi staan: 'klagen'-modus of 'handhavingsmodus'. Het systeem handhaaft geen regels en profielschendingen worden geaccepteerd met logs in de klachtenmodus. Deze modus is beter om een ​​nieuw profiel te testen en te ontwikkelen. De regels worden afgedwongen door het systeem in de afgedwongen modus en als er een overtreding optreedt voor een applicatieprofiel, is er geen bewerking toegestaan ​​voor die applicatie en wordt het rapportlogboek gegenereerd in syslog of auditd. U hebt toegang tot de syslog vanaf de locatie, /var/log/syslog. Hoe u de bestaande AppArmor-profielen van uw systeem kunt controleren, de profielmodus kunt wijzigen en een nieuw profiel kunt maken, wordt in dit artikel getoond.

Bestaande AppArmor-profielen controleren

apparmor_status commando wordt gebruikt om de geladen AppArmor-profielenlijst met status te bekijken. Voer de opdracht uit met root-machtiging.

$ sudo apparmor_status

De lijst met profielen kan worden aangepast aan het besturingssysteem en de geïnstalleerde pakketten. De volgende uitvoer verschijnt in Ubuntu 17.10. Er wordt aangetoond dat 23 profielen worden geladen als AppArmor-profielen en dat ze allemaal standaard zijn ingesteld als afgedwongen modus. Hier worden 3 processen, dhclient, cups-browsed en cupsd gedefinieerd door de profielen met afgedwongen modus en er is geen proces in de klachtenmodus. U kunt de uitvoeringsmodus voor elk gedefinieerd profiel wijzigen.

Profielmodus wijzigen

U kunt de profielmodus van elk proces wijzigen van klagen in afgedwongen of omgekeerd. Je moet de installeren apparmor-utils pakket om deze bewerking uit te voeren:. Voer de volgende opdracht uit en druk op 'Y' wanneer het om toestemming vraagt ​​​​om te installeren.

$ sudo apt-get install apparmor-utils

Er is een profiel met de naam dhclient die is ingesteld als afgedwongen modus. Voer de volgende opdracht uit om de modus te wijzigen in de klachtenmodus:.

$ sudo aa-complain /sbin/dhclient

Als u nu de status van AppArmor-profielen opnieuw controleert, ziet u dat de uitvoeringsmodus van dhclient is gewijzigd in de klachtenmodus.

U kunt de modus opnieuw wijzigen in de afgedwongen modus door de volgende opdracht te gebruiken:.

$ sudo aa-enforce /sbin/dhclient

Het pad om de uitvoeringsmodus voor alle AppArmore-profielen in te stellen is: /etc/apparmor.d/*.

Voer de volgende opdracht uit om de uitvoeringsmodus van alle profielen in de klachtenmodus in te stellen:

$ sudo aa-complain /etc/apparmor.d/*

Voer de volgende opdracht uit om de uitvoeringsmodus van alle profielen in de afgedwongen modus in te stellen:

$ sudo aa-enforce /etc/apparmor.d/*

Een nieuw profiel maken

Alle geïnstalleerde programma's maken standaard geen AppArmore-profielen. Om het systeem veiliger te houden, moet u mogelijk een AppArmore-profiel maken voor een bepaalde toepassing. Om een ​​nieuw profiel aan te maken, moet je die programma's vinden die niet aan een profiel zijn gekoppeld, maar die wel beveiliging nodig hebben. app-onbeperkt commando wordt gebruikt om de lijst te controleren. Volgens de uitvoer zijn de eerste vier processen niet gekoppeld aan een profiel en zijn de laatste drie processen standaard beperkt door drie profielen met de afgedwongen modus.

$ sudo aa-onbeperkt

Stel dat u het profiel voor het NetworkManager-proces wilt maken dat niet beperkt is. Rennen aa-genprof opdracht om het profiel te maken. Typ 'F' om het proces voor het maken van profielen te voltooien. Elk nieuw profiel wordt standaard in de afgedwongen modus gemaakt. Met deze opdracht wordt een leeg profiel gemaakt.

$ sudo aa-genprof NetworkManager

Er zijn geen regels gedefinieerd voor een nieuw gemaakt profiel en u kunt de inhoud van het nieuwe profiel wijzigen door het volgende bestand te bewerken om een ​​beperking voor het programma in te stellen.

$ sudo cat /etc/apparmor.d/usr.sbin.Netwerkmanager

Alle profielen opnieuw laden

Na het instellen of wijzigen van een profiel moet u het profiel opnieuw laden. Voer de volgende opdracht uit om alle bestaande AppArmor-profielen opnieuw te laden:.

$ sudo systemctl apparmor opnieuw laden.onderhoud

U kunt de momenteel geladen profielen controleren met behulp van de volgende opdracht:. U ziet de vermelding voor het nieuw gemaakte profiel van het NetworkManager-programma in de uitvoer.

$ sudo cat /sys/kernel/security/apparmor/profiles

AppArmor is dus een handig programma om uw systeem veilig te houden door de nodige beperkingen in te stellen voor belangrijke toepassingen.

Spellen Beste spellen om te spelen met handtracking
Beste spellen om te spelen met handtracking
Oculus Quest introduceerde onlangs het geweldige idee van handtracking zonder controllers. Met een steeds toenemend aantal games en activiteiten die f...
Spellen OSD-overlay tonen in Linux-apps en -games op volledig scherm
OSD-overlay tonen in Linux-apps en -games op volledig scherm
Het spelen van games op volledig scherm of het gebruik van apps in de modus volledig scherm zonder afleiding kan u afsnijden van relevante systeeminfo...
Spellen Top 5 Game Capture-kaarten
Top 5 Game Capture-kaarten
We hebben allemaal gezien en genoten van streaming gameplays op YouTube. PewDiePie, Jakesepticye en Markiplier zijn slechts enkele van de beste gamers...