Apparmor, ein Linux -Kernel -Sicherheitsmodul, kann den Systemzugriff durch installierte Software mithilfe von anwendungsspezifischen Profilen einschränken. Apparmor ist definiert als obligatorische Zugriffskontrolle oder MAC -System. Einige Profile werden zum Zeitpunkt der Paketinstallation installiert, und Apparmor enthält einige Additionsprofile von Apparmor-Profile-Paketen. Das Apparmor -Paket ist standardmäßig auf Ubuntu installiert und alle Standardprofile werden zum Zeitpunkt des Systemstarts geladen. Die Profile enthalten die Liste der Zugriffskontrollregeln, die in gespeicherten Regeln gespeichert sind usw./pararmor.D/.
Sie können auch jede installierte Anwendung schützen, indem Sie ein Apparmorprofil dieser Anwendung erstellen. Apparmor -Profile können in einem von zwei Modi erfolgen: "Beschwerde" -Modus oder "Durchsetzung" -Modus. Das System erzwingt keine Regeln, und Profilverstöße werden mit Protokollen im Beschwerdenmodus akzeptiert. Dieser Modus ist besser zu testen und ein neues Profil zu entwickeln. Die Regeln werden vom System im erzwungenen Modus erzwungen. Wenn ein Antragsprofil gegen ein Antragsprofil eintritt. Sie können vom Standort vom Syslog zugreifen, /var/log/syslog
. Wie Sie die vorhandenen Apparmorprofile Ihres Systems überprüfen, den Profilmodus ändern und ein neues Profil erstellen, werden in diesem Artikel angezeigt.
Überprüfen Sie vorhandene Apparmorenprofile
Apparmor_Status Der Befehl wird verwendet, um die Liste geladener Apparmorprofile mit Status anzuzeigen. Führen Sie den Befehl mit Root -Erlaubnis aus.
$ sudo Apparmor_status
Die Liste der Profile kann je nach Betriebssystem und installierten Paketen variiert werden. Die folgende Ausgabe erscheint in Ubuntu 17.10. Es wird gezeigt, dass 23 Profile als Apparmorprofile geladen werden und alle standardmäßig als erzwungener Modus festgelegt werden. Hier werden 3 Prozesse, DHClient, Cups-Browsed und CupsD. Sie können den Ausführungsmodus für jedes definierte Profil ändern.
Profilmodus ändern
Sie können den Profilmodus eines beliebigen Prozesses von Beschwerden zu Durchsetzung oder umgekehrt ändern. Sie müssen die installieren Apparmor-Utils Paket für diesen Vorgang. Führen Sie den folgenden Befehl aus und drücken Sie 'Y'Wenn es um die Installation gebeten wird.
$ sudo apt-get installieren Apparmor-Utils
Es gibt ein Profil benannt dhclient Dies wird als erzwungener Modus festgelegt. Führen Sie den folgenden Befehl aus, um den Modus zu ändern, um sich zu beschweren.
$ sudo aa-complain /sbin /dhclient
Wenn Sie nun den Status von Apparmor -Profilen erneut überprüfen, werden Sie feststellen.
Sie können den Modus erneut in den erzwungenen Modus ändern, indem Sie den folgenden Befehl verwenden.
$ sudo aa-Enforce /sbin /dhclient
Der Pfad zum Einstellen des Ausführungsmodus für alle Apparmore -Profile ist /etc/Apparmor.D/*.
Führen Sie den folgenden Befehl aus, um den Ausführungsmodus aller Profile im Beschwerdemodus festzulegen:
$ sudo aa-complaining /etc /Apparmor.D/*
Führen Sie den folgenden Befehl aus, um den Ausführungsmodus aller Profile im erzwungenen Modus festzulegen:
$ sudo aa-Enforce /etc /Apparmor.D/*
Erstellen Sie ein neues Profil
Alle installierten Programme erstellen nicht standardmäßig Apparmore -Profile. Um das System sicherer zu halten, müssen Sie möglicherweise ein Apparmore -Profil für eine bestimmte Anwendung erstellen. Um ein neues Profil zu erstellen, müssen Sie die Programme herausfinden, die mit keinem Profil verbunden sind, sondern Sicherheit benötigen. App-unkontrolliert Der Befehl wird verwendet, um die Liste zu überprüfen. Nach der Ausgabe sind die ersten vier Prozesse mit keinem Profil verknüpft, und der letzte Prozess beschränkt sich standardmäßig durch drei Profile mit einem erdzwerten Modus.
$ sudo aa-unkontrolliert
Nehmen wir an, Sie möchten das Profil für den NetworkManager -Prozess erstellen, der nicht eingesperrt ist. Laufen AA-Genprof Befehl zum Erstellen des Profils. Typ 'F'Um den Profilerstellungsprozess zu beenden. Jedes neue Profil wird standardmäßig im erdurchschnittlichen Modus erstellt. Dieser Befehl erstellt ein leeres Profil.
$ sudo aa-genprof networkManager
Keine Regeln für ein neu erstelltes Profil definieren und Sie können den Inhalt des neuen Profils ändern, indem Sie die folgende Datei bearbeiten, um die Beschränkung für das Programm festzulegen.
$ sudo cat /etc /Apparmor.D/usr.sbin.Netzwerk Manager
Alle Profile neu laden
Nach dem Einstellen oder Ändern eines Profils müssen Sie das Profil neu laden. Führen Sie den folgenden Befehl aus, um alle vorhandenen Apparmorenprofile neu zu laden.
$ sudo systemctl Reload Apparmor.Service
Sie können die aktuell geladenen Profile über den folgenden Befehl überprüfen. Sie sehen den Eintrag für ein neu erstelltes Profil des NetworkManager -Programms in der Ausgabe.
$ sudo cat/sys/kernel/Sicherheit/Apparmor/Profile
Apparmor ist also ein nützliches Programm, um Ihr System sicher zu halten, indem die erforderlichen Beschränkungen für wichtige Anwendungen festgelegt werden.