АппАрмор је обавезни систем контроле приступа за Линук. У обавезном систему контроле приступа (МАЦ), језгро намеће ограничења на путање, сокете, портове и разне механизме уноса / излаза. Развио га је Иммунек, а сада га одржава СУСЕ. Дио је језгра Линук-а од верзије 2.6.36.

Иако Линук језгро пружа добру изолацију корисника и снажну контролу дозвола датотека, МАЦ попут АппАрмор пружа прецизније дозволе и заштиту од многих непознатих претњи. Ако се у језгру Линук или другом демону система пронађе сигурносна рањивост, добро конфигурисани систем АппАрмор може спречити приступ критичним путањама које би могле бити осетљиве на проблем.

АппАрмор може ефикасно да ради у два начина - спровођење и жалба. Енфорце је подразумевани производни статус АппАрмор-а, док је жалба корисна за развој скупа правила заснованих на стварним обрасцима рада и за кршење евиденције. Конфигурисан је путем обичних текстуалних датотека у релативно пријатељском формату и има краћу криву учења од већине осталих обавезних система контроле приступа.

Инсталација

Да бисте инсталирали АппАрмор на Дебиан, покрените (као роот):

апт инсталирати аппармор аппармор-утилс аудитд

Аудит можете изоставити ако вам нису потребни алати за генерисање профила.

Ако желите да инсталирате стартер и додатне профиле, покрените:

апт инсталирати аппармор-профиле аппармор-профиле-ектра

Будући да је АппАрмор Линук језгрени модул, морате га омогућити следећим наредбама:

мкдир -п / етц / дефаулт / груб.д

Направите датотеку / етц / дефаулт / груб.д / аппармор.цфг са следећим садржајем:

ГРУБ_ЦМДЛИНЕ_ЛИНУКС_ДЕФАУЛТ = "$ ГРУБ_ЦМДЛИНЕ_ЛИНУКС_ДЕФАУЛТ аппармор = 1 сигурност = аппармор"

Сачувајте и изађите, а затим покрените:

упдате-груб

Затим поново покрените.

Расправља се да ли би то требало урадити аутоматски. Можда ћете желети да погледате крај овог извештаја о грешкама да бисте видели да ли је то промењено од времена писања овог текста.

Када се поново покренете, можете да проверите да ли је АппАрмор омогућен покретањем:

аа-статус

Ова наредба ће приказати учитане профиле АппАрмор и њихово тренутно стање усклађености (примењено, жалити се итд.)

Ако трчите:

пс аукЗ | греп -в '^ неограничено'

Видећете листу програма који су ограничени АппАрмор профилом. Ограничени програм је онај на који АппАрмор утиче и ограничава га (или пасивно, у режиму жалбе или активно у принудном режиму).

Промена режима / онемогућавање АппАрмор-а

Ако желите да онемогућите АппАрмор јер програм не ради, можда ћете желети да размислите о постављању профила у режим за жалбу уместо за принудни режим. Да бисте то урадили, покрените (као роот или путем судо):

аа-приговор / пут / до / програма

На пример, ако пинг неће радити исправно, користите:

аа-приговор / уср / бин / пинг

Једном када је профил у режиму за жалбу, можете прегледати евидентирање путем / вар / лог / сислог или помоћу јоурналцтл -ке на системд системима (Дебиан 8.к, Јессие и више).

Када уредите профил да бисте уклонили или прилагодили ограничење, можете поново укључити режим присиле за бинарни систем помоћу:

аа-присиљавање / путања / до / програма

У примеру изнад, замените / патх / то / програм пуном путањом до бинарне датотеке на коју утиче дотични профил.

Ако имате проблем са програмом и он је у режиму жалбе, евиденција ће пружити конкретне информације о томе која је радња одбијена. Поље операције ће објаснити шта је програм покушао да уради, поље профила специфични профил на који се то односи, име ће одредити циљ акције (и.е. која датотека је заустављена из операције читања или писања), а тражене и одбијене маске указују на то да ли је операција, како захтевана од програма, тако и одбијена по профилу, прочитана или прочитана-написана.

Профил можете у потпуности онемогућити покретањем:

аа-онемогући / пут / до / програма

Или можете потпуно онемогућити АппАрмор уређивањем датотеке: / етц / дефаулт / груб.д / аппармор.цфг да садржи:

ГРУБ_ЦМДЛИНЕ_ЛИНУКС_ДЕФАУЛТ = ”$ ГРУБ_ЦМДЛИНЕ_ЛИНУКС_ДЕФАУЛТ аппармор = 0”

Затим покрените:

упдате-груб

И поновно покретање система.

Рад са АппАрмор профилима

АппАрмор профили се налазе у / етц / аппармор.д / директоријум. Ако инсталирате пакет пакета аппармор-профиле и аппармор-профилес-ектра, профиле ћете пронаћи у / уср / схаре / доц / аппармор-профиле и / уср / схаре / доц / аппармор-профилес / ектра. Да бисте их активирали, копирајте датотеке у / етц / аппармор.д, затим их уредите како бисте били сигурни да садрже вредности које желите, сачувајте и покрените:

поновно учитавање услуге аппармор

Ако желите поново учитати само један профил, покрените:

аппармор_парсер -р / етц / аппармор.д / профил

Где је „профил“ назив дотичног профила.

Не препоручује се само копирање профила и додатних профила у / етц / аппармор.д директоријум без ручног уређивања. Неки профили могу бити стари, а неки сасвим сигурно неће садржати вредности које желите. Ако их све копирате, подесите их барем да се жале како бисте могли да надгледате кршења без прекида програма у производњи:

цд / етц / аппармор.д
за ф у *.*; уради аа-приговор / етц / аппармор.д / $ ф; Готово

Наредбу аа-форце можете користити појединачно да омогућите профиле које желите задржати, подесите оне који узрокују проблеме и примењују их или уклоните оне који вам нису потребни покретањем аа-дисабле или уклањањем датотеке профила из / етц / аппармор.д.

Креирање профила АппАрмор

Пре него што направите прилагођени профил, желећете да претражите / етц / аппармор.д и / уср / схаре / доц / аппармор-профилес директоријуми за постојећи профил који покрива дотични бинарни систем. Да бисте их претражили, покрените:

финд / уср / схаре / доц / аппармор-профиле | греп „програм“ -и

Заменити програм са програмом који желите да заштитите АппАрмор-ом. Ако га пронађете, копирајте га у / етц / аппармор.д, а затим уредите датотеку у свом омиљеном уређивачу текста.

Сваки профил се састоји од три главна дела: укључује, могућности и путање. Корисну референцу можете пронаћи у СуСЕ-овој документацији.

Укључује

Укључује пружање синтаксе коју можете користити унутар датотеке. Користе синтаксу Ц / Ц ++ #инцлуде <> и обично референтне апстракције пронађене у / етц / аппармор.д / директоријум апстракција.

Способности

У одељку о могућностима, који се обично налази након укључује, наведене су одређене могућности које програм може да изврши. На пример, можете дозволити програму да изврши сетуид операцију са:

способност сетуид

Способност нет_бинд_сервице омогућава програму да се веже за мрежни порт. Ако ово не одобрите, демон послужитеља као што је Апацхе не може отворити порт 80 и преслушати. Међутим, изостављање ове могућности може пружити изврсну сигурност за процесе којима не верујете на мрежи.

Стазе

Можете навести путање које је програм у стању да прочита (и можда напише). На пример, ако желите да дозволите програму да приступи датотеци / етц / пассвд, додајте:

/ етц / пассвд р

У профилу. Обратите пажњу на „р“ - то значи само за читање. Ако ово промените у „в“, биће дозвољено писање у ову путању или датотеку.

Чак и ако дозволите путању у АппАрмор, она и даље подлеже ограничењима Линук система датотека (тј.е. постављено са цхмод, цхгрп и цховн). Међутим, АппАрмор ће и даље пружати додатни ниво заштите уколико се ти механизми угрозе.

Закључак

Кључ успешне примене АппАрмор-а је постављање профила за жалбу, а затим спровођење. Пажљиво испитивање дневника пружиће вам минималне путање и могућности потребне за успешан рад програма. Додељивањем ових и више нећете драматично повећати сигурност вашег система.