AppArmor

AppArmor-profiler på Ubuntu

AppArmor-profiler på Ubuntu

AppArmor, en Linux Kernel Security Module, kan begränsa systemåtkomst med installerad programvara med applikationsspecifika profiler.  AppArmor definieras som obligatorisk åtkomstkontroll eller MAC-system. Vissa profiler installeras vid tidpunkten för paketinstallationen och AppArmor innehåller några tilläggsprofiler från apparmor-profilpaket. AppArmor-paketet är installerat på Ubuntu som standard och alla standardprofiler laddas när systemet startas. Profilerna innehåller en lista över åtkomstkontrollregler som lagras i etc / apparmor.d /.

Du kan också skydda alla installerade applikationer genom att skapa en AppArmor-profil för den applikationen. AppArmor-profiler kan vara i två lägen: "klagomålsläge" eller "verkställighet" -läge. Systemet tillämpar inga regler och profilöverträdelser accepteras med loggar när de är i klagomålsläge. Detta läge är bättre att testa och utveckla en ny profil. Reglerna tillämpas av systemet i tvångsläge och om någon överträdelse inträffar för någon applikationsprofil kommer ingen operation att tillåtas för den applikationen och rapportloggen genereras i syslog eller auditd. Du kan komma åt syslog från platsen, / var / log / syslog. Hur du kan kontrollera befintliga AppArmor-profiler i ditt system, ändra profilläge och skapa en ny profil visas i den här artikeln.

Kontrollera befintliga AppArmor-profiler

apparmor_status kommandot används för att visa den laddade listan över AppArmor-profiler med status. Kör kommandot med rootbehörighet.

$ sudo apparmor_status

Profillistan kan varieras beroende på operativsystem och installerade paket. Följande utdata visas i Ubuntu 17.10. Det visas att 23 profiler laddas som AppArmor-profiler och att alla är inställda som tvångsläge som standard. Här definieras 3 processer, dhclient, cups-browsed och cupsd av profilerna med tvångsmodus och det finns ingen process i klagomålsläge. Du kan ändra körningsläget för vilken definierad profil som helst.

Ändra profilläge

Du kan ändra profilläget för alla processer från klagomål till verkställighet eller vice versa. Du måste installera apparmor-verktyg paket för att utföra denna operation. Kör följande kommando och tryck på 'Y'när den ber om tillstånd att installera.

$ sudo apt-get install apparmor-utils

Det finns en profil som heter dhclient som är inställt som tvångsläge. Kör följande kommando för att ändra läge till klagomålsläge.

$ sudo aa-klaga / sbin / dhclient

Om du nu kontrollerar statusen för AppArmor-profilerna igen ser du att exekveringsläget för dhclient ändras till klagomålsläge.

Du kan ändra läget igen till tvångsläge genom att använda följande kommando.

$ sudo aa-enforce / sbin / dhclient

Sökvägen för att ställa in exekveringsläget för alla AppArmore-profiler är / etc / apparmor.d / *.

Kör följande kommando för att ställa in körningsläget för alla profiler i klagomålsläge:

$ sudo aa-klaga / etc / apparmor.d / *

Kör följande kommando för att ställa in körningsläget för alla profiler i tvångsläge:

$ sudo aa-enforce / etc / apparmor.d / *

Skapa en ny profil

Alla installerade program skapar inte AppArmore-profiler som standard. För att hålla systemet säkrare kan du behöva skapa en AppArmore-profil för en viss applikation. För att skapa en ny profil måste du ta reda på de program som inte är kopplade till någon profil men som behöver säkerhet. app-obegränsad kommandot används för att kontrollera listan. Enligt utdata är de första fyra processerna inte associerade med någon profil och de tre sista processerna är begränsade av tre profiler med tvångsläge som standard.

$ sudo aa-obegränsat

Antag att du vill skapa en profil för NetworkManager-processen som inte är begränsad. Springa aa-genprof kommando för att skapa profilen. Skriv 'F'för att avsluta processen för att skapa profil. Alla nya profiler skapas som standard i ett påtvingat läge. Detta kommando skapar en tom profil.

$ sudo aa-genprof NetworkManager

Inga regler definieras för någon nyskapad profil och du kan ändra innehållet i den nya profilen genom att redigera följande fil för att ställa in begränsningar för programmet.

$ sudo cat / etc / apparmor.d / usr.sbin.Nätverks chef

Ladda om alla profiler

När du har ställt in eller ändrat en profil måste du ladda om profilen. Kör följande kommando för att ladda om alla befintliga AppArmor-profiler.

$ sudo systemctl ladda om apparmor.service

Du kan kontrollera de nu laddade profilerna med följande kommando. Du ser posten för nyskapad profil för NetworkManager-programmet i utdata.

$ sudo cat / sys / kärna / säkerhet / apparmor / profiler

Så AppArmor är ett användbart program för att hålla ditt system säkert genom att ställa in nödvändiga begränsningar för viktiga applikationer.

Mus WinMouse låter dig anpassa och förbättra muspekarens rörelse på Windows PC
WinMouse låter dig anpassa och förbättra muspekarens rörelse på Windows PC
Om du vill förbättra standardfunktionerna för din muspekare, använd freeware WinMouse. Det lägger till fler funktioner som hjälper dig att få ut det m...
Mus Mus vänsterklicka på knappen fungerar inte på Windows 10
Mus vänsterklicka på knappen fungerar inte på Windows 10
Om du använder en dedikerad mus med din bärbara dator eller stationära dator men musens vänsterklick-knapp fungerar inte på Windows 10/8/7 av någon an...
Mus Markören hoppar eller rör sig slumpmässigt när du skriver in Windows 10
Markören hoppar eller rör sig slumpmässigt när du skriver in Windows 10
Om du upptäcker att muspekaren hoppar eller rör sig på egen hand, automatiskt, slumpmässigt när du skriver in Windows-bärbar dator eller dator, kan nå...