"Enter"a basıp içeriğe geçin

Ubuntu’da AppArmor Profilleri – Linux Önerileri

Bir Linux Çekirdeği güvenlik modülü olan AppArmor, uygulamaya özel profiller kullanarak yüklü yazılımlara sistem erişimini kısıtlayabilir. AppArmor, Zorunlu Erişim Kontrol Sistemi veya MAC Sistemi olarak tanımlanır. Bazı profiller, paket kurulumu sırasında yüklenir ve AppArmor, apparmor profil paketlerinden bazı ek profiller içerir. AppArmor paketi varsayılan olarak Ubuntu’ya kurulur ve tüm varsayılan profiller sistem başlangıcında yüklenir. Profiller, içlerinde saklanan erişim kontrol kurallarının bir listesini içerir. vb/apparmor.d/.

Yüklü herhangi bir uygulamayı, o uygulama için bir AppArmor profili oluşturarak da koruyabilirsiniz. AppArmor profilleri iki moddan birinde olabilir: “şikayet” modu veya “uygulama” modu. Sistem herhangi bir kural uygulamaz ve rapor oluşturma sırasında profil ihlalleri günlüklerle kabul edilir. Bu mod, herhangi bir yeni profili test etmek ve geliştirmek için en iyisidir. Kurallar, sistem tarafından zorunlu modda uygulanır ve herhangi bir uygulama profilinin ihlali meydana gelirse, o uygulama için herhangi bir eyleme izin verilmez ve raporlama günlüğü sistem günlüğünde oluşturulur veya denetlenir. Sistem günlüğüne siteden erişebilirsiniz,

/var/log/syslog. Bu makale, sisteminizdeki mevcut AppArmor profillerini nasıl kontrol edeceğinizi, profil modunu nasıl değiştireceğinizi ve yeni bir profil oluşturacağınızı gösterir.

Mevcut AppArmor profillerine göz atın

apparmor_status Komut, durumda kurulu olan AppArmor profillerinin listesini görüntülemek için kullanılır. Komutu kök izniyle çalıştırın.

Profil listesi, işletim sistemine ve kurulu paketlere göre değişiklik gösterebilir. Aşağıdaki çıktı Ubuntu 17.10’da görünecektir. 23 kurulu profil, AppArmor profilleri olarak gösterilir ve hepsi varsayılan olarak zorunlu olarak ayarlanmıştır. Burada dhclient, cupd ve cupd olmak üzere 3 işlem zorunlu mod profilleri ile tanımlanır ve şikayet modunda herhangi bir işlem yapılmaz. Herhangi bir özel profil için yürütme modunu değiştirebilirsiniz.

Profil durumunu değiştir

Herhangi bir eylemin profil durumunu Şikayet’ten Yaptırım’a veya tam tersine değiştirebilirsiniz. yüklemeniz gerekiyor apparmor-utils Bunu yapmak için paket. Aşağıdaki komutu çalıştırın ve bir tuşa basınsYüklemek için izin istediğinde.

$ sudoapt-get’i yükleyin apparmor-utils

adlı bir profil var. dhclient zorunlu mod olarak ayarlanmıştır. Modu şikayet moduna değiştirmek için aşağıdaki komutu çalıştırın.

$ sudo aa-şikayet /Döndürmek/dhclient

Şimdi, AppArmor profillerinin durumunu tekrar kontrol ederseniz, dhclient’in yürütme modunun şikayet moduna değiştirildiğini göreceksiniz.

Aşağıdaki komutu kullanarak modu zorunlu moda geri değiştirebilirsiniz.

$ sudo AA- uygulama /Döndürmek/dhclient

Tüm AppArmore profilleri için yürütme modunu ayarlamanın bir yolu /etc/apparmor.d/*.

Şikayet modundaki tüm profiller için yürütme modunu ayarlamak üzere aşağıdaki komutu çalıştırın:

$ sudo aa-şikayet /vb/Abarmore d/*

Tüm profillerin yürütme modunu zorunlu moda ayarlamak için aşağıdaki komutu çalıştırın:

$ sudo AA- uygulama /vb/Abarmore d/*

Yeni bir profil oluştur

Yüklü programların tümü varsayılan olarak AppArmore profilleri oluşturmaz. Sistemi daha güvenli tutmak için herhangi bir uygulama için bir AppArmore profili oluşturmanız gerekebilir. Yeni bir profil oluşturmak için, herhangi bir profille ilişkili olmayan ancak güvenlik gerektiren programlar bulmalısınız. Sınırsız uygulama Listeyi kontrol etmek için kullanılan komuttur. Çıktıya göre, ilk dört işlem herhangi bir profille ilişkili değildir ve son üç işlem varsayılan olarak zorunlu modda üç profille sınırlıdır.

Kısıtlanmamış NetworkManager işlemi için bir profil oluşturmak istediğinizi varsayalım. Olmak Yaşlanmaya dayanıklı bir profil oluşturmak için komut. ilaç ‘Fprofil oluşturmayı bitirmek için. Herhangi bir yeni profil, varsayılan olarak zorunlu modda oluşturulur. Bu komut, boş bir profil oluşturacaktır.

$ sudo aa-genprof ağ yöneticisi

Yeni oluşturulan herhangi bir profil için herhangi bir kural tanımlanmamıştır ve program üzerinde kısıtlamalar ayarlamak için aşağıdaki dosyayı düzenleyerek yeni profilin içeriğini değiştirebilirsiniz.

$ sudokedi/vb/Abarmore d/usr.sbin. ağ yöneticisi

Tüm profilleri yeniden indir

Herhangi bir profili ayarladıktan veya değiştirdikten sonra, profilin yeniden yüklenmesi gerekir. Mevcut tüm AppArmor profillerini yeniden yüklemek için aşağıdaki komutu çalıştırın.

$ sudo systemctl apparmor.service’i yeniden yükleyin

Şu anda yüklü olan profilleri aşağıdaki komutu kullanarak kontrol edebilirsiniz. Çıktıda, NetworkManager için yeni oluşturulan profil girişini göreceksiniz.

$ sudokedi/sistem/çekirdek/Emniyet/kalkan/dış görünüş

Bu nedenle AppArmor, önemli uygulamalar için gerekli kısıtlamaları ayarlayarak sisteminizi güvende tutmak için kullanışlı bir yazılımdır.

Diğer gönderilerimize göz at

[wpcin-random-posts]

İlk Yorumu Siz Yapın

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir