AppArmor

Profil AppArmor di Ubuntu

Profil AppArmor di Ubuntu

AppArmor, Modul Keselamatan Kernel Linux, dapat menyekat akses sistem dengan perisian yang dipasang menggunakan profil khusus aplikasi.  AppArmor didefinisikan sebagai Mandatory Access Control atau sistem MAC. Beberapa profil dipasang pada masa pemasangan pakej dan AppArmor mengandungi beberapa profil tambahan dari pakej profil-apparmor. Pakej AppArmor dipasang di Ubuntu secara lalai dan semua profil lalai dimuat semasa sistem dimulakan. Profil mengandungi senarai peraturan kawalan akses yang disimpan dll / apparmor.d /.

Anda juga dapat melindungi aplikasi yang dipasang dengan membuat profil AppArmor aplikasi tersebut. Profil AppArmor boleh berada dalam salah satu daripada dua mod: mod 'komplen' atau mod 'penguatkuasaan'. Sistem tidak menguatkuasakan peraturan dan pelanggaran profil diterima dengan log ketika dalam mod aduan. Mod ini lebih baik untuk menguji dan mengembangkan profil baru. Peraturan tersebut ditegakkan oleh sistem dalam mod yang ditegakkan dan jika terjadi pelanggaran untuk profil aplikasi apa pun maka tidak akan ada operasi yang diizinkan untuk aplikasi tersebut dan log laporan akan dibuat di syslog atau auditd. Anda boleh mengakses syslog dari lokasi, / var / log / syslog. Bagaimana anda dapat memeriksa profil AppArmor yang ada pada sistem anda, mengubah mod profil dan membuat profil baru ditunjukkan dalam artikel ini.

Semak Profil AppArmor Yang Ada

apparmor_status arahan digunakan untuk melihat senarai profil AppArmor yang dimuatkan dengan status. Jalankan perintah dengan izin root.

$ sudo apparmor_status

Senarai profil boleh diubah mengikut sistem operasi dan pakej yang dipasang. Output berikut akan muncul di Ubuntu 17.10. Telah ditunjukkan bahawa 23 profil dimuat sebagai profil AppArmor dan semuanya ditetapkan sebagai mod yang dikuatkuasakan secara lalai. Di sini, 3 proses, dhclient, cups-browsed dan cupsd ditentukan oleh profil dengan mod yang dikuatkuasakan dan tidak ada proses dalam mod komplen. Anda boleh menukar mod pelaksanaan untuk profil yang ditentukan.

Ubah Mod Profil

Anda boleh menukar mod profil dari sebarang proses dari mengadu kepada penguatkuasaan atau sebaliknya. Anda mesti memasang peralatan-peralatan pakej untuk melakukan operasi ini. Jalankan arahan berikut dan tekan 'Y'ketika meminta izin untuk memasang.

$ sudo apt-get pasang apparmor-utils

Terdapat profil bernama pelanggan yang ditetapkan sebagai mod yang dikuatkuasakan. Jalankan arahan berikut untuk menukar mod ke mod mengeluh.

$ sudo aa-complaint / sbin / dhclient

Sekarang, jika anda menyemak status profil AppArmor sekali lagi, anda akan melihat mod pelaksanaan dhclient diubah menjadi mod aduan.

Anda sekali lagi boleh mengubah mod ke mod yang ditegakkan dengan menggunakan perintah berikut.

$ sudo aa-نافذ / sbin / dhclient

Jalan untuk menetapkan mod pelaksanaan untuk semua profil AppArmore adalah / etc / apparmor.d / *.

Jalankan perintah berikut untuk menetapkan mod pelaksanaan semua profil dalam mod aduan:

$ sudo aa-complaint / etc / apparmor.d / *

Jalankan perintah berikut untuk menetapkan mod pelaksanaan semua profil dalam mod yang ditegakkan:

$ sudo aa-نافذ / etc / apparmor.d / *

Buat profil baru

Semua program yang dipasang tidak membuat profil AppArmore secara lalai. Untuk memastikan sistem lebih selamat, anda mungkin perlu membuat profil AppArmore untuk aplikasi tertentu. Untuk membuat profil baru, anda harus mengetahui program yang tidak berkaitan dengan profil apa pun tetapi memerlukan keselamatan. aplikasi tanpa had arahan digunakan untuk memeriksa senarai. Mengikut output, empat proses pertama tidak dikaitkan dengan profil apa pun dan tiga proses terakhir dibatasi oleh tiga profil dengan mod yang dikuatkuasakan secara lalai.

$ sudo aa-tidak terkongkong

Katakan, anda ingin membuat profil untuk proses NetworkManager yang tidak terhad. Lari aa-genprof arahan untuk membuat profil. Taip 'F'untuk menyelesaikan proses pembuatan profil. Sebarang Profil baru dibuat dalam mod yang dipaksakan secara lalai. Perintah ini akan membuat profil kosong.

$ sudo aa-genprof NetworkManager

Tidak ada peraturan yang ditentukan untuk profil yang baru dibuat dan anda dapat mengubah isi profil baru dengan mengedit fail berikut untuk menetapkan batasan untuk program.

$ sudo cat / etc / apparmor.d / usr.sbin.Pengurus Rangkaian

Muat semula semua profil

Setelah menetapkan atau mengubah profil apa pun, anda perlu memuatkan semula profil tersebut. Jalankan arahan berikut untuk memuatkan semula semua profil AppArmor yang ada.

$ sudo systemctl tambah nilai apparmor.perkhidmatan

Anda boleh memeriksa profil yang sedang dimuat dengan menggunakan arahan berikut. Anda akan melihat entri untuk profil program NetworkManager yang baru dibuat dalam output.

$ sudo cat / sys / kernel / security / apparmor / profiles

Oleh itu, AppArmor adalah program yang berguna untuk memastikan sistem anda selamat dengan menetapkan sekatan yang diperlukan untuk aplikasi penting.

Permainan Cara Menunjukkan Overlay OSD dalam Aplikasi dan Permainan Linux Skrin Penuh
Cara Menunjukkan Overlay OSD dalam Aplikasi dan Permainan Linux Skrin Penuh
Bermain permainan skrin penuh atau menggunakan aplikasi dalam mod skrin penuh bebas gangguan dapat memisahkan anda dari maklumat sistem yang relevan y...
Permainan 5 Kad Tangkap Permainan Teratas
5 Kad Tangkap Permainan Teratas
Kita semua telah melihat dan menyukai streaming permainan permainan di YouTube. PewDiePie, Jakesepticye, dan Markiplier hanyalah beberapa pemain terat...
Permainan Cara Membangunkan Permainan di Linux
Cara Membangunkan Permainan di Linux
Satu dekad yang lalu, tidak banyak pengguna Linux akan meramalkan bahawa sistem operasi kegemaran mereka suatu hari nanti akan menjadi platform permai...