Samouczek Debian Apparmor

Samouczek Debian Apparmor

Apparmor to mechanizm bezpieczeństwa oprogramowania Linux, który jest bardzo skuteczny i przyjazny dla użytkownika. Apparmor to podstawowa poprawa, która ogranicza programy do określonych zasobów. Łączy właściwości kontroli dostępu do programów zamiast użytkowników. Apparmor zabezpiecza system operacyjny Linux i aplikacje z wielu ataków, wdrażając zasady bezpieczeństwa, które są powszechnie określane jako profil Apparmor. Profil Apparmor zawiera proste pliki tekstowe. Podczas definiowania dostępu do pliku można zastosować zarówno globbing plików, jak i bezwzględne ścieżki.

Mamy dwa funkcjonalne tryby Egzekwowania i narzekania Apparmor. Status produkcji Apparmor jest domyślnie w trybie egzekwowanym, ale tryb skargi jest korzystny dla rejestrowania naruszeń i definiowania zestawu reguł na podstawie rzeczywistych wzorców operacji. W przeciwieństwie do bycia komponentem frameworka, Apparmor jest dodatkową funkcją, którą można dodać, modyfikować, wyłączyć lub odinstalować. Zbadamy wdrożenie Apparmor w tym samouczku, aby uzyskać więcej szczegółów na ten temat.

Instalacja Apparmor w Debian

Apparmor jest już skonfigurowany i załadowany w systemie operacyjnym Debian. Wykorzystuje profile aplikacji wymaganej przez program do określenia plików i uprawnień. Niektóre narzędzia instalują ich profile, podczas gdy pakiet Apparmor-profiles zawiera więcej profili. Polecenie Apt służy do instalacji „audytu” Apparmor-Utils w systemie operacyjnym Debian, który jest pokazany na poniższym obrazie. Możemy usunąć utilki „audytu” z polecenia, jeśli nie potrzebujemy narzędzi do tworzenia profili. Zauważ, że uruchamiamy to polecenie jako root.

Włączanie Apparmor w Debian

Teraz instalowane jest narzędzie Apparmor do generowania profilu. Włączamy moduły bezpieczeństwa Apparmor Linux z linii poleceń jądra Linux. Postępujemy zgodnie z poniższymi krokami, aby włączyć Apparmor w systemie operacyjnym Debian:

Krok 1: Utwórz katalog.

mkdir -p/etc/default/grub.D

Krok 2: Wygeneruj „/etc/default/grub.D/Apparmor.plik CFG ”i zapisz treść, którą odzwierciedlamy w następujący sposób:

echo 'grub_cmdline_linux_default = "$ GRUB_CMDLINE_LILUX_DEFAULT Apparmor = 1 Security = Apparmor"' \
|. sudo tee/etc/default/grub.D/Apparmor.CFG

Krok 3: Zaktualizuj „grub” pod przywilejem polecenia sudo.

sudo aktualizacja-Grub

Krok 4: Uruchom ponownie system operacyjny Debian. Po zakończeniu ponownego uruchomienia możemy sprawdzić, czy status Apparmor jest włączony, czy nie, wykonując następujące polecenie. Zwraca „Y”, co wskazuje „tak”, ponieważ Apparmor jest włączony w systemie Debian:

cat/sys/module/apparmor/parametry/włączone

Krok 5: Użyj polecenia, aby uzyskać bieżący status każdego profilu Apparmor, który jest ładowany do aplikacji i procesów. Możemy zobaczyć zgodność trybu każdego profilu, który jest ładowany na następującą ilustrację. Wyjście wyświetla się, że profile „43” są ładowane jako profile Apparmor, a profile „25” Apparmor są domyślnie w trybie egzekwowania. Istnieją dwa tryby profili Apparmor - niektóre są w trybie egzekwowania, a niektóre są w trybie narzekania. Możemy zmodyfikować tryb wykonania dla każdego zdefiniowanego profilu.

sudo aa-status

Modyfikowanie profilu Apparmor w Debian

Jak wspomniano wcześniej, tryby można przełączać z określonych trybów profilu Apparmor. Oznacza to, że tryb egzekwowania można zmienić za pomocą trybu narzekania i odwrotnie. Mamy profil Apparmor jako „dhclient”, który jest w trybie wymuszonym. Tryb narzekania można uzyskać, uruchamiając następujące polecenie. Wyjście wyświetla komunikat ustawienia dhclient w trybie skarżącym:

sudo aa-complain /sbin /dhclient

Aby ponownie zmienić tryb narzekania w trybie egzekwowania, mamy polecenie, aby to osiągnąć. Polecenie używa słowa kluczowego „egzekwuj” z profilem DhClient.

sudo aa-enforce /sbin /dhclient

Ponadto ścieżka konfiguracji trybu wykonania jest /etc /apparmor.d/* dla wszystkich profili Apparmor. Możemy ustawić tryb wykonania wszystkich profili Apparmor w trybie skarżącym, stosując następujące polecenie Sudo w terminalu:

sudo aa-complain /etc /apparmor.D/*

Możemy również ustawić ścieżkę trybu wykonania dla wszystkich profili Apparmor do trybu egzekwowania za pomocą następującego polecenia:

sudo aa-enforce /etc /apparmor.D/*

Tworzenie nowego profilu Apparmor w Debian

Aby ustalić nowy profil, musimy określić aplikacje wymagające bezpieczeństwa, ale nie są powiązane z żadnym innym profilem Apparmor. Istnieje kilka poleceń do budowy profili Apparmor. Ale używamy polecenia „skonfiskowanego przez AA”, aby wymienić profile, które są niezgodne. Wyjście wskazuje, że jeden proces jest nie do przyjęcia do żadnych profili, podczas gdy pozostałe trzy procesy są ograniczone do domyślnie trzy profile w trybie wymuszonym.

sudo aa-inconfined

Teraz tworzymy profil Apparmor „NetworkManager”, który nie jest ograniczony. W tym celu wykorzystujemy polecenie „aa-genprof” i podajemy z nim nazwę niekomponowanego profilu. Wygenerowany profil jest domyślnie pusty w trybie wymuszonym. Naciskając „F”, proces tworzenia profilu jest zakończony.

sudo aa-genprof NetworkManager

Możemy zmienić ich zawartość, modyfikując następujący plik, ponieważ nie ma takich zdefiniowanych ograniczeń dla tego profilu, które ustala ograniczenia programu. Profil „NetworkManager” jest teraz aktualizowany, jak pokazano w terminalu Debian:

sudo cat /etc /apparmor.D/usr.sbin.NetworkManager

Ponowne załadowanie profili Apparmor w Debian

Profile Apparmor, które wcześniej utworzyliśmy i zmodyfikowaliśmy, powinny zostać ponownie załadowane. Aby ponownie załadować każdy aktywny profil Apparmor, wykonaj następujące polecenie:

Sudo Systemctl Reload Apparmor.praca

Następnie, używając danego polecenia, można obejrzeć załadowane profile Apparmor. Widzimy, że utworzony profil NetworkManager jest wspomniany w wyjściu w trybie wymuszonym.

sudo cat/sys/jądro/bezpieczeństwo/apparmor/profile

Wyłączenie Apparmor w Debian

Aplikacja Apparmor nie może być wyłączona, ponieważ jest to funkcja bezpieczeństwa. Jeśli wyłączymy lub usuniemy Apparmor z naszego systemu, musimy śledzić te polecenia. Najpierw zatrzymujemy usługi Apparmor za pomocą SystemCTL:

Sudo Systemctl Stop Apparmor

Następnie używamy innego polecenia, które wyłącza Apparmor od uruchomienia, gdy system się uruchamia:

sudo systemctl wyłącz apparmor

Następne wykonane polecenie używa APT do usunięcia pakietu Apparmor i zależności z systemu.

sudo apt usuwanie-Assume-tak-Prezentacja Apparmor

Wniosek

W tym artykule Debian Apparmor badaliśmy sposoby pracy z profilem Apparmor. Nauczyliśmy się polecenia instalacji dla profili Apparmor. Po instalacji włączyliśmy Apparmor w systemie Debian. Następnie zmodyfikowaliśmy tryby istniejących profili Apparmor. Wygenerowaliśmy również nowy profil, który nie ogranicza się do profili Apparmor. Apparmor można również wyłączyć lub usunąć z systemu za pomocą określonych poleceń wyłączających, które są wykonywane w ostatniej części tego samouczka.