Apparmor profiler på ubuntu

Apparmor profiler på ubuntu

APPARMOR, en Linux Kernel Security -modul, kan begrense systemtilgangen med installert programvare ved hjelp av applikasjonsspesifikke profiler. Apparmor er definert som obligatorisk tilgangskontroll eller Mac -system. Noen profiler er installert på tidspunktet for pakkeinstallasjon, og Apparmor inneholder noen tilleggsprofiler fra Apparmor-Profiles-pakker. Apparmor -pakken er installert på Ubuntu som standard, og alle standardprofiler er lastet på tidspunktet for oppstart av systemet. Profilene inneholder listen over regler for tilgangskontroll som er lagret i etc/apparmor.d/.

Du kan også beskytte alle installerte applikasjoner ved å opprette en apparmorprofil av den applikasjonen. Apparmor Profiles kan være i en av to modus: 'Klage' -modus eller 'Håndhevelse' -modus. Systemet håndhever ingen regler og profilbrudd aksepteres med logger når du er i klagemodus. Denne modusen er bedre å teste og utvikle enhver ny profil. Reglene håndheves av systemet i håndhevet modus, og hvis det oppstår noen brudd for noen applikasjonsprofil, vil ingen operasjoner være tillatt for den applikasjonen, og rapportloggen vil bli generert i syslog eller auditd. Du kan få tilgang til sysloggen fra stedet, /var/log/syslog. Hvordan du kan sjekke de eksisterende apparmorprofilene i systemet ditt, endre profilmodus og opprette en ny profil vises i denne artikkelen.

Sjekk eksisterende apparmorprofiler

APPARMOR_STATUS Kommando brukes til å se listen over lastede Apparmmor Profiles med status. Kjør kommandoen med rotstillatelse.

$ SUDO APPARMOR_STATUS

Profillisten kan varieres i henhold til operativsystemet og installerte pakker. Følgende utgang vises i Ubuntu 17.10. Det er vist at 23 profiler er lastet som Apparmor Profiles og alle er satt som håndhevet modus som standard. Her er 3 prosesser, DHClient, Cups-Browsed og CUPSD definert av profilene med håndhevet modus, og det er ingen prosess i klagemodus. Du kan endre utførelsesmodus for en hvilken som helst definert profil.

Endre profilmodus

Du kan endre profilmodus for enhver prosess fra klage til håndhevet eller omvendt. Du må installere Apparmor-UTILS pakke for å gjøre denne operasjonen. Kjør følgende kommando og trykk 'Y'Når det ber om tillatelse til å installere.

$ sudo apt-get installer apparmor-utils

Det er en profil som heter Dhclient som er satt som håndhevet modus. Kjør følgende kommando for å endre modus for å klage modus.

$ sudo aa-plain /sbin /dhclient

Nå, hvis du sjekker statusen til Apparmor Profiles igjen, vil du se utførelsesmodus for DHClient endres til klagemodus.

Du kan igjen endre modus til håndhevet modus ved å bruke følgende kommando.

$ sudo aa-ence /sbin /dhclient

Banen for å angi utførelsesmodus for alle Apparmore -profiler er /etc/apparmor.d/*.

Kjør følgende kommando for å angi utførelsesmodus for alle profiler i klagemodus:

$ sudo aa-plain /etc /apparmor.d/*

Kjør følgende kommando for å angi utførelsesmodus for alle profiler i håndhevet modus:

$ sudo aa-ence /etc /apparmor.d/*

Lag en ny profil

Alle installerte programmer oppretter ikke Apparmore -profiler som standard. For å holde systemet sikrere, kan det hende du må opprette en Apparmore -profil for en bestemt applikasjon. For å lage en ny profil må du finne ut de programmene som ikke er tilknyttet noen profil, men trenger sikkerhet. App-unconfined Kommando brukes til å sjekke listen. I henhold til utdataene er de fire første prosessene ikke tilknyttet noen profil og de siste tre prosessene er begrenset av tre profiler med håndhevet modus som standard.

$ SUDO AA-UNCONFINED

Anta at du vil opprette profilen for NetworkManager -prosessen som ikke er innesperret. Løpe AA-Genprof Kommando for å opprette profilen. Skriv 'F'For å fullføre profilskapingsprosessen. Enhver ny profil opprettes i håndhevet modus som standard. Denne kommandoen vil opprette en tom profil.

$ sudo AA-Genprof NetworkManager

Ingen regler definerer for noen nyopprettet profil, og du kan endre innholdet i den nye profilen ved å redigere følgende fil for å angi begrensning for programmet.

$ sudo katt /etc /apparmor.d/usr.sbin.NetworkManager

Last inn alle profiler på nytt

Etter at du har satt inn eller endret en profil, må du laste inn profilen på nytt. Kjør følgende kommando for å laste inn alle eksisterende apparmorprofiler.

$ sudo systemctl last inn apparmor.service

Du kan sjekke de nå lastede profilene ved å bruke følgende kommando. Du vil se oppføringen for nyopprettet profil av NetworkManager -programmet i utdataene.

$ sudo katt/sys/kjerne/sikkerhet/apparmor/profiler

Så Apparmor er et nyttig program for å holde systemet ditt trygt ved å sette nødvendige begrensninger for viktige applikasjoner.