Perfis de Aparmor no Ubuntu

Mr. Warren Cummerata
Perfis de Aparmor no Ubuntu

O APARMOR, um módulo de segurança do kernel Linux, pode restringir o acesso ao sistema por software instalado usando perfis específicos do aplicativo. O Appmor é definido como controle de acesso obrigatório ou sistema MAC. Alguns perfis são instalados no momento da instalação do pacote e o Appmor contém alguns perfis de adição de pacotes de perfis de Aparmor. O pacote Apmor está instalado no Ubuntu por padrão e todos os perfis padrão são carregados no momento da inicialização do sistema. Os perfis contêm a lista de regras de controle de acesso que são armazenadas em etc/Apparmor.d/.

Você também pode proteger qualquer aplicativo instalado, criando um perfil do Aparmor desse aplicativo. Os perfis do Aparmor podem estar em um dos dois modos: modo de 'reclamação' ou modo de 'aplicação'. O sistema não aplica nenhuma regra e violações de perfil são aceitas com toras quando no modo reclamar. Este modo é melhor testar e desenvolver qualquer novo perfil. As regras são aplicadas pelo sistema no modo aplicado e, se ocorrer alguma violação para qualquer perfil de aplicativo, nenhuma operação será permitida para esse aplicativo e o registro do relatório será gerado em syslog ou auditor. Você pode acessar o syslog a partir do local, /var/log/syslog. Como você pode verificar os perfis do aparmor existente do seu sistema, alterar o modo de perfil e criar um novo perfil é mostrado neste artigo.

Verifique os perfis do Apparmor existentes

APARMOR_STATUS O comando é usado para visualizar a lista de perfis do aparmor carregado com status. Execute o comando com permissão de root.

$ sudo aparmor_status

A lista de perfis pode variar de acordo com o sistema operacional e os pacotes instalados. A saída a seguir aparecerá no Ubuntu 17.10. É mostrado que 23 perfis são carregados como perfis do Aparmor e todos são definidos como modo aplicado por padrão. Aqui, 3 processos, dhclient, copos e copos e copos são definidos pelos perfis com modo aplicado e não há processo no modo de reclamação. Você pode alterar o modo de execução para qualquer perfil definido.

Modificar o modo de perfil

Você pode alterar o modo de perfil de qualquer processo de reclamar para imposto ou vice -versa. Você tem que instalar o APARMOR-UTILS pacote para fazer esta operação. Execute o seguinte comando e pressione 'Y'Quando solicitar a permissão para instalar.

$ sudo apt-get install Appmorils

Há um perfil chamado dhclient que é definido como modo aplicado. Execute o seguinte comando para alterar o modo para reclamar o modo.

$ sudo aa-conslain /sbin /dhclient

Agora, se você verificar o status dos perfis do Apparmor novamente, verá o modo de execução do dhclient é alterado para reclamar o modo.

Você pode alterar novamente o modo para o modo aplicado usando o seguinte comando.

$ sudo aa-enforce /sbin /dhclient

O caminho para definir o modo de execução para todos os perfis dos Appmore é /etc/aparmor.d/*.

Execute o seguinte comando para definir o modo de execução de todos os perfis no modo reclamação:

$ sudo aa-conslain /etc /aparmor.d/*

Execute o seguinte comando para definir o modo de execução de todos os perfis no modo imposto:

$ sudo aa-enforce /etc /aparmor.d/*

Crie um novo perfil

Todos os programas instalados não criam perfis do Appmore por padrão. Para manter o sistema mais seguro, pode ser necessário criar um perfil do Appmore para qualquer aplicativo específico. Para criar um novo perfil, você precisa descobrir os programas que não estão associados a nenhum perfil, mas precisam de segurança. App-Bonfined O comando é usado para verificar a lista. De acordo com a saída, os quatro primeiros processos não estão associados a nenhum perfil e o último processo é confinado por três perfis com modo aplicado por padrão.

$ sudo aa-bonfined

Suponha que você queira criar o perfil para o processo NetworkManager, que não está confinado. Correr AA-GENPROF comando para criar o perfil. Tipo 'F'Para terminar o processo de criação de perfil. Qualquer novo perfil é criado em modo aplicado por padrão. Este comando criará um perfil vazio.

$ sudo aa-genprof NetworkManager

Nenhuma regras define para qualquer perfil recém -criado e você pode modificar o conteúdo do novo perfil editando o seguinte arquivo para definir restrições para o programa.

$ sudo gato /etc /aparmor.d/usr.Sbin.Gerente da rede

Recarregue todos os perfis

Depois de definir ou modificar qualquer perfil, você precisa recarregar o perfil. Execute o seguinte comando para recarregar todos os perfis do Apparmor existentes.

$ sudo systemctl Reload Apparmor.serviço

Você pode verificar os perfis atualmente carregados usando o seguinte comando. Você verá a entrada para o perfil recém -criado do programa NetworkManager na saída.

$ sudo gato/sys/kernel/segurança/aparmor/perfis

Portanto, o Appmor é um programa útil para manter seu sistema seguro, definindo as restrições necessárias para aplicações importantes.

Pitão
O que é B String em Python?
No Python, a notação B ao lado da corda regular e o método Encodes () é usado para converter a strin...
Evan Mueller
php
Como usar o intervalo e continuar em php?
No PHP, a declaração de quebra é usada para encerrar uma declaração de loop ou interruptor enquanto ...
Pedro Macejkovic
C Programação
Como imprimir % usando o printf em programação C?
Imprimir o símbolo%em um programa C usando printf () requer o uso de símbolos de dois por cento junt...
Salvatore Watsica
C ++
Matriz de estruturas em C ++
Ed Treutel IV
Pitão
Como descompactar arquivos em python
Pedro Macejkovic
Pitão
Numpy Astype
Jackie Blanda
Pitão
Como faço para verificar se uma string está vazia em python
Marlon Bernhard
Docker
O que é o Docker Bind Mounds?
Salvatore Watsica
Sqlite
Como usar o aplicativo da Web do Viewer SQLite
Carl Hintz DDS
php
Como usar expressões regulares em php
Jackie Blanda
Oracle Linux
O que deve ser especificações mínimas do sistema para o Oracle Linux?
Mr. Warren Cummerata
Banco de dados Oracle
Como instalar o Oracle Instant Client no Linux?
Ed Treutel IV
AWS
O que é uma instância e como usá -lo no EC2?
Pedro Macejkovic