DEBIAN APPARMOR TUTORIAL

DEBIAN APPARMOR TUTORIAL

Apparmor er en Linux-programvaresikkerhetsmekanisme som er veldig effektiv og brukervennlig. Apparmor er en kjerneforbedring som begrenser programmene til spesifikke ressurser. Den kobler tilgangskontrollegenskapene til programmene i stedet for brukere. Apparmor sikrer Linux -operativsystemet og appene fra en rekke angrep ved å implementere sikkerhetspolitikkene som ofte blir referert til som en Apparmmor -profil. Apparmor -profilen inneholder enkle tekstfiler. Når du definerer filtilgangen, kan både fillobbing og absolutte stier brukes.

Vi har to funksjonelle modus for Apparmor håndhever og klager. Produksjonsstatusen for apparmor er i håndhevet modus som standard, men klagemodus er gunstig for å logge brudd og definere et regelsett basert på faktiske driftsmønstre. I motsetning til å være en komponent i rammen, er Apparmor en tilleggsfunksjon som kan legges til, modifisert, deaktivert eller avinstallert. Vi vil utforske implementeringen av apparmor i denne opplæringen for å få mer informasjon om det.

Installasjon av apparmor i Debian

Apparmor er allerede satt opp og lastet inn i Debian -operativsystemet. Den utnytter profilene til applikasjonen som er påkrevd av programmet for å bestemme filene og tillatelsene. Noen verktøy installerer profilene sine, mens Apparmor-Profiles-pakken inneholder flere profiler. APT-kommandoen brukes til å installere “Audit” AppArmor-UTILS i Debian-operativsystemet som vises i følgende bilde. Vi kan fjerne "revisjon" -mottakene fra kommandoen hvis vi ikke trenger verktøyene for å lage profilene. Merk at vi kjører denne kommandoen som en rot.

Aktivering av apparmor i Debian

Nå er apparmorverktøyet for å generere en profil installert. Vi aktiverer apparmen Linux sikkerhetsmoduler fra Linux Kernel -kommandolinjen. Vi følger følgende gitte trinn for å aktivere apparmoren i Debian -operativsystemet:

Trinn 1: Opprett katalogen.

mkdir -p/etc/standard/grub.d

Steg 2: Generere “/etc/standard/grub.d/apparmor.CFG ”-fil og lagre innholdet som vi ekko i følgende:

Echo 'Grub_cmdline_Linux_Default = "$ GRUB_CMDLINE_LINUX_DEFAULT APPARMOR = 1 SIKKERHET = APPARMOR"' \
| sudo tee/etc/standard/grub.d/apparmor.CFG

Trinn 3: Oppdater “Grub” under privilegiet av Sudo -kommandoen.

Sudo Update-Grub

Trinn 4: Start debianske operativsystem på nytt. Når omstarten er ferdig, kan vi sjekke om statusen til apparmor er aktivert eller ikke ved å utføre følgende kommando. Den returnerer “y” som indikerer “ja” fordi apparmoren er aktivert i Debian -systemet:

CAT/SYS/MODUL/APPARMOR/Parameters/Aktivert

Trinn 5: Bruk kommandoen for å få gjeldende status for hver apparmorprofil som er lastet for applikasjoner og prosesser. Vi kan se modusens samsvar med hver profil som er lastet i følgende illustrasjon. Utgangen viser at “43” profiler er lastet som Apparmmor -profiler og “25” -profilene til Apparmor er i håndhevingsmodus som standard som standard. Det finnes to moduser av Apparmor Profiles - noen er i håndhevingsmodus og noen er i klagemodus. Vi kan endre utførelsesmodus for hver profil som er definert.

sudo aa-status

Endre apparmorprofilen i Debian

Som vi nevnte tidligere, kan modusene byttes fra de spesifiserte modusene til apparmorprofilen. Dette betyr at håndhevingsmodus kan endres med klagemodus og omvendt. Vi har en apparmorprofil som "dhclient" som er i en håndhevet modus. Klagermodus kan nås ved å kjøre følgende kommando. Utgangen viser meldingen om å sette DHClient i klagemodus:

sudo aa-plain /sbin /dhclient

For å endre klagemodus i en håndhevingsmodus igjen, har vi en kommando for å oppnå dette. Kommandoen bruker nøkkelordet "Håndhevelse" med DHClient -profilen.

sudo aa-ence /sbin /dhclient

Videre er konfigurasjonsstien for utførelsesmodus /etc /apparmor.d/* for alle apparmorprofilene. Vi kan angi utførelsesmodus for alle apparmorprofiler i klagemodus ved å bruke følgende sudo -kommando i terminalen:

sudo aa-plain /etc /apparmor.d/*

Vi kan også sette banen til utførelsesmodus for alle profilene til apparmor til håndhevingsmodus ved hjelp av følgende kommando:

sudo aa-ence /etc /apparmor.d/*

Opprette en ny apparmorprofil i Debian

For å etablere en ny profil, må vi bestemme applikasjonene som krever sikkerhet, men som ikke er tilknyttet noen annen Apparmor -profil. Det er flere kommandoer for å konstruere apparmorprofilene. Men vi bruker kommandoen “AA-konfinerte” for å liste opp profilene som er ukonfinerte. Utgangen indikerer at den ene prosessen er ubegrenset til noen profiler, mens de tre andre prosessene er innesperret av tre profiler i håndhevet modus som standard som standard.

sudo aa-ukonfinert

Nå oppretter vi "NetworkManager" apparmorprofilen som ikke er innesperret. For dette bruker vi kommandoen “AA-Genprof” og spesifiserer navnet på den ukonfinerte profilen med den. Den genererte profilen er tom i håndhevet modus som standard. Ved å trykke på "F", avsluttes opprettingsprosessen til profilen.

Sudo AA-Genprof NetworkManager

Vi kan endre innholdet ved å endre følgende fil, da det ikke er noen slike definerte begrensninger for denne profilen som angir begrensningene for programmet. "NetworkManager" -profilen er nå oppdatert som vist i Debian -terminalen:

sudokatt /etc /apparmor.d/usr.sbin.NetworkManager

Last inn apparmorprofilene i Debian

Apparmor -profilene som vi tidligere har laget og endret, bør lastes på nytt. For å laste inn hver aktiv apparmorprofil, utfør følgende kommando:

sudo systemctl last inn apparmor.service

Neste, ved hjelp av den gitte kommandoen, kan de lastede profilene til Apparmor sees på. Vi kan se at den opprettede nettverksmanagerprofilen er nevnt i utdataene med håndhevet modus.

sudo katt/sys/kjerne/sikkerhet/apparmor/profiler

Deaktivere apparmoren i Debian

Apparmor -applikasjonen har ikke lov til å være deaktivert fordi det er en sikkerhetsfunksjon. Hvis vi deaktiverer eller fjerner apparmoren fra systemet vårt, må vi følge disse kommandoene. Først stopper vi AppArmor -tjenestene ved å bruke SystemCTL:

sudo systemctl stopp apparmor

Etter det bruker vi en annen kommando som deaktiverer apparmoren fra å kjøre når systemet starter:

sudo SystemCTL deaktiver Apparmor

Den neste utførte kommandoen bruker APT for å fjerne apparmorpakken og avhengighetene fra systemet.

sudo apt fjerne-meisume-yes-purge apparmor

Konklusjon

I denne Debian Apparmor -artikkelen utforsket vi måtene å jobbe med Apparmor Profiles. Vi lærte installasjonskommandoen for apparmorprofilene. Etter installasjonen aktiverte vi apparmoren i Debian -systemet. Deretter modifiserte vi modusene for eksisterende profiler av apparmoren. Vi genererte også en ny profil som ikke er begrenset til apparmorprofilene. Apparmen kan også deaktiveres eller fjernes fra systemet ved hjelp av de spesifikke deaktiverende kommandoene som blir utført i den siste delen av denne opplæringen.