AppArmor, Modul Keselamatan Kernel Linux, dapat menyekat akses sistem dengan perisian yang dipasang menggunakan profil khusus aplikasi. AppArmor didefinisikan sebagai Mandatory Access Control atau sistem MAC. Beberapa profil dipasang pada masa pemasangan pakej dan AppArmor mengandungi beberapa profil tambahan dari pakej profil-apparmor. Pakej AppArmor dipasang di Ubuntu secara lalai dan semua profil lalai dimuat semasa sistem dimulakan. Profil mengandungi senarai peraturan kawalan akses yang disimpan dll / apparmor.d /.
Anda juga dapat melindungi aplikasi yang dipasang dengan membuat profil AppArmor aplikasi tersebut. Profil AppArmor boleh berada dalam salah satu daripada dua mod: mod 'komplen' atau mod 'penguatkuasaan'. Sistem tidak menguatkuasakan peraturan dan pelanggaran profil diterima dengan log ketika dalam mod aduan. Mod ini lebih baik untuk menguji dan mengembangkan profil baru. Peraturan tersebut ditegakkan oleh sistem dalam mod yang ditegakkan dan jika terjadi pelanggaran untuk profil aplikasi apa pun maka tidak akan ada operasi yang diizinkan untuk aplikasi tersebut dan log laporan akan dibuat di syslog atau auditd. Anda boleh mengakses syslog dari lokasi, / var / log / syslog
. Bagaimana anda dapat memeriksa profil AppArmor yang ada pada sistem anda, mengubah mod profil dan membuat profil baru ditunjukkan dalam artikel ini.
Semak Profil AppArmor Yang Ada
apparmor_status arahan digunakan untuk melihat senarai profil AppArmor yang dimuatkan dengan status. Jalankan perintah dengan izin root.
$ sudo apparmor_status
Senarai profil boleh diubah mengikut sistem operasi dan pakej yang dipasang. Output berikut akan muncul di Ubuntu 17.10. Telah ditunjukkan bahawa 23 profil dimuat sebagai profil AppArmor dan semuanya ditetapkan sebagai mod yang dikuatkuasakan secara lalai. Di sini, 3 proses, dhclient, cups-browsed dan cupsd ditentukan oleh profil dengan mod yang dikuatkuasakan dan tidak ada proses dalam mod komplen. Anda boleh menukar mod pelaksanaan untuk profil yang ditentukan.
Ubah Mod Profil
Anda boleh menukar mod profil dari sebarang proses dari mengadu kepada penguatkuasaan atau sebaliknya. Anda mesti memasang peralatan-peralatan pakej untuk melakukan operasi ini. Jalankan arahan berikut dan tekan 'Y'ketika meminta izin untuk memasang.
$ sudo apt-get pasang apparmor-utils
Terdapat profil bernama pelanggan yang ditetapkan sebagai mod yang dikuatkuasakan. Jalankan arahan berikut untuk menukar mod ke mod mengeluh.
$ sudo aa-complaint / sbin / dhclient
Sekarang, jika anda menyemak status profil AppArmor sekali lagi, anda akan melihat mod pelaksanaan dhclient diubah menjadi mod aduan.
Anda sekali lagi boleh mengubah mod ke mod yang ditegakkan dengan menggunakan perintah berikut.
$ sudo aa-نافذ / sbin / dhclient
Jalan untuk menetapkan mod pelaksanaan untuk semua profil AppArmore adalah / etc / apparmor.d / *.
Jalankan perintah berikut untuk menetapkan mod pelaksanaan semua profil dalam mod aduan:
$ sudo aa-complaint / etc / apparmor.d / *Jalankan perintah berikut untuk menetapkan mod pelaksanaan semua profil dalam mod yang ditegakkan:
$ sudo aa-نافذ / etc / apparmor.d / *Buat profil baru
Semua program yang dipasang tidak membuat profil AppArmore secara lalai. Untuk memastikan sistem lebih selamat, anda mungkin perlu membuat profil AppArmore untuk aplikasi tertentu. Untuk membuat profil baru, anda harus mengetahui program yang tidak berkaitan dengan profil apa pun tetapi memerlukan keselamatan. aplikasi tanpa had arahan digunakan untuk memeriksa senarai. Mengikut output, empat proses pertama tidak dikaitkan dengan profil apa pun dan tiga proses terakhir dibatasi oleh tiga profil dengan mod yang dikuatkuasakan secara lalai.
$ sudo aa-tidak terkongkong
Katakan, anda ingin membuat profil untuk proses NetworkManager yang tidak terhad. Lari aa-genprof arahan untuk membuat profil. Taip 'F'untuk menyelesaikan proses pembuatan profil. Sebarang Profil baru dibuat dalam mod yang dipaksakan secara lalai. Perintah ini akan membuat profil kosong.
$ sudo aa-genprof NetworkManager
Tidak ada peraturan yang ditentukan untuk profil yang baru dibuat dan anda dapat mengubah isi profil baru dengan mengedit fail berikut untuk menetapkan batasan untuk program.
$ sudo cat / etc / apparmor.d / usr.sbin.Pengurus Rangkaian
Muat semula semua profil
Setelah menetapkan atau mengubah profil apa pun, anda perlu memuatkan semula profil tersebut. Jalankan arahan berikut untuk memuatkan semula semua profil AppArmor yang ada.
$ sudo systemctl tambah nilai apparmor.perkhidmatanAnda boleh memeriksa profil yang sedang dimuat dengan menggunakan arahan berikut. Anda akan melihat entri untuk profil program NetworkManager yang baru dibuat dalam output.
$ sudo cat / sys / kernel / security / apparmor / profiles
Oleh itu, AppArmor adalah program yang berguna untuk memastikan sistem anda selamat dengan menetapkan sekatan yang diperlukan untuk aplikasi penting.