Debian Apparmor Tutorial

Debian Apparmor Tutorial

Apparmor ist ein Linux-Software-Sicherheitsmechanismus, der sehr effektiv und benutzerfreundlich ist. Apparmor ist eine Kernverbesserung, die die Programme auf bestimmte Ressourcen beschränkt. Es verbindet die Zugriffssteuerungseigenschaften mit den Programmen anstelle von Benutzern. Apparmor sichert das Linux -Betriebssystem und Apps aus zahlreichen Angriffen durch die Implementierung der Sicherheitsrichtlinien, die üblicherweise als Apparmorprofil bezeichnet werden. Das Apparmorprofil umfasst einfache Textdateien. Beim Definieren des Dateizugriffs können sowohl Dateikugel als auch absolute Pfade angewendet werden.

Wir haben zwei Funktionsmodi von Apparmor -Durchsetzung und Beschwerden. Der Apparmor -Produktionsstatus befindet sich standardmäßig im erdurchschnittlichen Modus, der Beschwerdemodus ist jedoch von Vorteil für die Protokollierung von Verstößen und die Definition eines Regelsatzes basierend auf den tatsächlichen Betriebsmustern. Im Gegensatz dazu ist Apparmor eine Komponente des Framework. Wir werden die Implementierung von Apparmor in diesem Tutorial untersuchen, um weitere Details dazu zu erhalten.

Installation von Apparmor in Debian

Apparmor ist bereits im Debian -Betriebssystem eingerichtet und geladen. Es nutzt die Profile der Anwendung, die vom Programm erforderlich ist, um die Dateien und Berechtigungen zu bestimmen. Einige Dienstprogramme installieren ihre Profile, während das Paket für Apparmor-Profile mehr Profile enthält. Mit dem Befehl APT werden die Aprarmor-Utils „Audit“ im Debian-Betriebssystem installiert, das im folgenden Bild angezeigt wird. Wir können die "Prüfungs" -Tils aus dem Befehl entfernen, wenn wir nicht die Tools benötigen, um die Profile zu erstellen. Beachten Sie, dass wir diesen Befehl als Root ausführen.

Aktivieren Sie den Apparmor in Debian

Jetzt ist das Apparmor -Dienstprogramm zur Generierung eines Profils installiert. Wir aktivieren die Apparmor Linux -Sicherheitsmodule aus der Befehlszeile des Linux -Kernels. Wir befolgen die folgenden Schritte, um den Apparmor im Debian -Betriebssystem zu aktivieren:

Schritt 1: Erstellen Sie das Verzeichnis.

mkdir -p/etc/default/grub.D

Schritt 2: Generieren Sie die „/etc/Standard/grub.D/Apparmor.CFG ”-Datei und speichern Sie den Inhalt, den wir in Folgendes widerspiegeln:

echo 'grub_cmdline_linux_default = "$ grub_cmdline_linux_default apparmor = 1 Security = Apparmor"' \
| sudo tee/etc/default/grub.D/Apparmor.CFG

Schritt 3: Aktualisieren Sie das "minelle" gemäß dem Befehl privilege of sudo.

sudo update-grub

Schritt 4: Starten Sie das Debian -Betriebssystem neu. Sobald der Neustart abgeschlossen ist, können wir überprüfen, ob der Status von Apparmor aktiviert ist oder nicht, indem der folgende Befehl ausgeführt wird. Es gibt "y" zurück, was "Ja" anzeigt, da der Apparmor im Debian -System aktiviert ist:

cat/sys/modul/apparmor/parameter/aktiviert

Schritt 5: Verwenden Sie den Befehl, um den aktuellen Status jedes Apparmorprofils zu erhalten, der für Anwendungen und Prozesse geladen wird. Wir können die Moduskonformität jedes Profils sehen, das in der folgenden Abbildung geladen ist. Die Ausgabe zeigt an, dass „43“ -Profile als Apparmorprofile geladen werden und die „25“ -Profile von Apparmor standardmäßig im Durchsetzungsmodus sind. Es gibt zwei Modi der Apparmorprofile - einige befinden sich im Durchsetzungsmodus und einige sind im Beschwerdenmodus. Wir können den Ausführungsmodus für jedes definierte Profil ändern.

sudo aa-status

Ändern des Apparmorprofils in Debian

Wie bereits erwähnt, können die Modi aus den angegebenen Modi des Apparmorprofils ausgeschaltet werden. Dies bedeutet, dass der Durchsetzungsmodus mit dem Beschwerdenmodus geändert werden kann und umgekehrt. Wir haben ein Apparmorprofil als „DHClient“, das sich in einem erzwungenen Modus befindet. Der Beschwerdemodus kann durch Ausführen des folgenden Befehls zugegriffen werden. Die Ausgabe zeigt die Meldung zum Einstellen des DHClient im Beschwerdemodus an:

sudo aa-complain /sbin /dhclient

Um den Beschwerdemodus in einem Durchsetzungsmodus erneut zu ändern, haben wir einen Befehl, um dies zu erreichen. Der Befehl verwendet das Schlüsselwort "Durchsetzen" mit dem DHClient -Profil.

sudo aa-Enforce /sbin /dhclient

Darüber hinaus lautet der Konfigurationspfad des Ausführungsmodus /etc /Apparmor.d/* für alle Apparmorprofile. Wir können den Ausführungsmodus aller Apparmorprofile im Beschwerdemodus festlegen, indem wir den folgenden Sudo -Befehl im Terminal anwenden:

sudo aa-complainain /etc /Apparmor.D/*

Wir können auch den Pfad des Ausführungsmodus für alle Profile von Apparmor in den Durchsetzungsmodus unter Verwendung des folgenden Befehls festlegen:

sudo aa-Enforce /etc /Apparmor.D/*

Erstellen eines neuen Apparmorprofils in Debian

Um ein neues Profil festzulegen, müssen wir die Anwendungen bestimmen, die Sicherheit erfordern, aber kein anderes Apparmorprofil angeschlossen sind. Es gibt mehrere Befehle, um die Apparmorprofile zu konstruieren. Wir verwenden jedoch den Befehl „AA-konfiniert“, um die nicht eingegriffenen Profile aufzulisten. Die Ausgabe zeigt an, dass ein Prozess für alle Profile nicht eingeschränkt ist, während die anderen drei Prozesse stand.

sudo aa-unkontrolliert

Jetzt erstellen wir das Apparmor -Profil „NetworkManager“, das nicht eingesperrt ist. Dafür verwenden wir den Befehl „AA-GenProf“ und geben damit den Namen des nicht begrenzten Profils an. Das generierte Profil ist standardmäßig im erzwungenen Modus leer. Durch Drücken des „F“ wird der Erstellungsprozess des Profils beendet.

sudo aa-genprof networkManager

Wir können ihren Inhalt ändern, indem wir die folgende Datei ändern, da es für dieses Profil keine solchen definierten Einschränkungen gibt, die die Einschränkungen für das Programm festlegen. Das Profil „NetworkManager“ wird jetzt wie im Debian Terminal gezeigt aktualisiert:

sudo cat /etc /Apparmor.D/usr.sbin.Netzwerk Manager

Laden Sie die Apparmorprofile in Debian neu

Die zuvor erstellten und geänderten Apparmorenprofile sollten neu geladen werden. Führen Sie den folgenden Befehl aus, um jedes aktive Abriebsprofil neu zu laden: Führen Sie den folgenden Befehl aus:

sudo systemctl reload apparmor.Service

Als nächstes können mit dem angegebenen Befehl die geladenen Profile von Apparmor angezeigt werden. Wir können sehen, dass das erstellte NetworkManager -Profil in der Ausgabe mit dem erzwungenen Modus erwähnt wird.

sudo cat/sys/kernel/Sicherheit/Apparmor/Profile

Deaktivieren des Apparmors in Debian

Die Apparmor -Anwendung darf nicht deaktiviert werden, da es sich um eine Sicherheitsfunktion handelt. Wenn wir den Apparmor von unserem System deaktivieren oder entfernen, müssen wir diesen Befehlen folgen. Zunächst stoppen wir die Apparmor -Dienste mithilfe des SystemCTL:

sudo systemctl stoppen Apparmor

Danach verwenden wir einen anderen Befehl, der den Apparmor vom Ausführen des Systems deaktiviert, wenn das System startet:

sudo systemctl deaktivieren Apparmor

Mit dem nächsten ausgeführten Befehl wird das APT verwendet, um das Apparmorpaket und die Abhängigkeiten aus dem System zu entfernen.

sudo apt entfernen-assume-yes -purge Apparmor

Abschluss

In diesem Debian -Apparmor -Artikel haben wir die Möglichkeiten untersucht, mit den Apparmor -Profilen zu arbeiten. Wir haben den Installationsbefehl für die Apparmorprofile gelernt. Nach der Installation haben wir den Apparmor innerhalb des Debian -Systems aktiviert. Anschließend haben wir die Modi vorhandener Profile des Apparmors geändert. Wir haben auch ein neues Profil generiert, das nicht auf die Apparmorprofile beschränkt ist. Der Apparmor kann auch deaktiviert oder aus dem System unter Verwendung der spezifischen Deaktivierungsbefehle entfernt werden, die im letzten Teil dieses Tutorials ausgeführt werden.