O APARMOR, um módulo de segurança do kernel Linux, pode restringir o acesso ao sistema por software instalado usando perfis específicos do aplicativo. O Appmor é definido como controle de acesso obrigatório ou sistema MAC. Alguns perfis são instalados no momento da instalação do pacote e o Appmor contém alguns perfis de adição de pacotes de perfis de Aparmor. O pacote Apmor está instalado no Ubuntu por padrão e todos os perfis padrão são carregados no momento da inicialização do sistema. Os perfis contêm a lista de regras de controle de acesso que são armazenadas em etc/Apparmor.d/.
Você também pode proteger qualquer aplicativo instalado, criando um perfil do Aparmor desse aplicativo. Os perfis do Aparmor podem estar em um dos dois modos: modo de 'reclamação' ou modo de 'aplicação'. O sistema não aplica nenhuma regra e violações de perfil são aceitas com toras quando no modo reclamar. Este modo é melhor testar e desenvolver qualquer novo perfil. As regras são aplicadas pelo sistema no modo aplicado e, se ocorrer alguma violação para qualquer perfil de aplicativo, nenhuma operação será permitida para esse aplicativo e o registro do relatório será gerado em syslog ou auditor. Você pode acessar o syslog a partir do local, /var/log/syslog
. Como você pode verificar os perfis do aparmor existente do seu sistema, alterar o modo de perfil e criar um novo perfil é mostrado neste artigo.
Verifique os perfis do Apparmor existentes
APARMOR_STATUS O comando é usado para visualizar a lista de perfis do aparmor carregado com status. Execute o comando com permissão de root.
$ sudo aparmor_status
A lista de perfis pode variar de acordo com o sistema operacional e os pacotes instalados. A saída a seguir aparecerá no Ubuntu 17.10. É mostrado que 23 perfis são carregados como perfis do Aparmor e todos são definidos como modo aplicado por padrão. Aqui, 3 processos, dhclient, copos e copos e copos são definidos pelos perfis com modo aplicado e não há processo no modo de reclamação. Você pode alterar o modo de execução para qualquer perfil definido.
Modificar o modo de perfil
Você pode alterar o modo de perfil de qualquer processo de reclamar para imposto ou vice -versa. Você tem que instalar o APARMOR-UTILS pacote para fazer esta operação. Execute o seguinte comando e pressione 'Y'Quando solicitar a permissão para instalar.
$ sudo apt-get install Appmorils
Há um perfil chamado dhclient que é definido como modo aplicado. Execute o seguinte comando para alterar o modo para reclamar o modo.
$ sudo aa-conslain /sbin /dhclient
Agora, se você verificar o status dos perfis do Apparmor novamente, verá o modo de execução do dhclient é alterado para reclamar o modo.
Você pode alterar novamente o modo para o modo aplicado usando o seguinte comando.
$ sudo aa-enforce /sbin /dhclient
O caminho para definir o modo de execução para todos os perfis dos Appmore é /etc/aparmor.d/*.
Execute o seguinte comando para definir o modo de execução de todos os perfis no modo reclamação:
$ sudo aa-conslain /etc /aparmor.d/*
Execute o seguinte comando para definir o modo de execução de todos os perfis no modo imposto:
$ sudo aa-enforce /etc /aparmor.d/*
Crie um novo perfil
Todos os programas instalados não criam perfis do Appmore por padrão. Para manter o sistema mais seguro, pode ser necessário criar um perfil do Appmore para qualquer aplicativo específico. Para criar um novo perfil, você precisa descobrir os programas que não estão associados a nenhum perfil, mas precisam de segurança. App-Bonfined O comando é usado para verificar a lista. De acordo com a saída, os quatro primeiros processos não estão associados a nenhum perfil e o último processo é confinado por três perfis com modo aplicado por padrão.
$ sudo aa-bonfined
Suponha que você queira criar o perfil para o processo NetworkManager, que não está confinado. Correr AA-GENPROF comando para criar o perfil. Tipo 'F'Para terminar o processo de criação de perfil. Qualquer novo perfil é criado em modo aplicado por padrão. Este comando criará um perfil vazio.
$ sudo aa-genprof NetworkManager
Nenhuma regras define para qualquer perfil recém -criado e você pode modificar o conteúdo do novo perfil editando o seguinte arquivo para definir restrições para o programa.
$ sudo gato /etc /aparmor.d/usr.Sbin.Gerente da rede
Recarregue todos os perfis
Depois de definir ou modificar qualquer perfil, você precisa recarregar o perfil. Execute o seguinte comando para recarregar todos os perfis do Apparmor existentes.
$ sudo systemctl Reload Apparmor.serviço
Você pode verificar os perfis atualmente carregados usando o seguinte comando. Você verá a entrada para o perfil recém -criado do programa NetworkManager na saída.
$ sudo gato/sys/kernel/segurança/aparmor/perfis
Portanto, o Appmor é um programa útil para manter seu sistema seguro, definindo as restrições necessárias para aplicações importantes.