Apparmor, un módulo de seguridad del kernel de Linux, puede restringir el acceso del sistema mediante el software instalado utilizando perfiles específicos de la aplicación. Apparmor se define como control de acceso obligatorio o sistema Mac. Algunos perfiles se instalan en el momento de la instalación de paquetes y Apparmor contiene algunos perfiles de adición de los paquetes de perfiles de Apparmor. El paquete Apparmor se instala en Ubuntu de forma predeterminada y todos los perfiles predeterminados se cargan en el momento del inicio del sistema. Los perfiles contienen la lista de reglas de control de acceso que se almacenan en etc/aparmor.d/.
También puede proteger cualquier aplicación instalada creando un perfil de APARMOR de esa aplicación. Los perfiles de AppArmor pueden estar en uno de los dos modos: modo 'quejarse' o modo de 'aplicación'. El sistema no aplica ninguna regla y violaciones de perfil se aceptan con registros cuando está en modo de queja. Este modo es mejor probar y desarrollar cualquier perfil nuevo. Las reglas son aplicadas por el sistema en modo forzado y si se produce una violación para cualquier perfil de aplicación, entonces no se permitirá ninguna operación para esa aplicación y el registro de informe se generará en Syslog o Auditd. Puede acceder al syslog desde la ubicación, /var/log/syslog
. En este artículo, se muestra cómo puede verificar los perfiles de APARMOR existentes de su sistema, cambiar el modo de perfil y crear un nuevo perfil.
Verifique los perfiles de Apparmor existentes
aparmor_status El comando se utiliza para ver la lista de perfiles de Apparmor cargados con estado. Ejecute el comando con permiso raíz.
$ sudo apparmor_status
La lista de perfiles se puede variar de acuerdo con el sistema operativo y los paquetes instalados. La siguiente salida aparecerá en Ubuntu 17.10. Se muestra que 23 perfiles se cargan como perfiles de aparmor y todos están configurados como modo forzado de forma predeterminada. Aquí, se definen 3 procesos, Dhclient, tazas y cupsd por los perfiles con modo forzado y no hay ningún proceso en modo de queja. Puede cambiar el modo de ejecución para cualquier perfil definido.
Modificar el modo de perfil
Puede cambiar el modo de perfil de cualquier proceso de queja a forzado o viceversa. Tienes que instalar el APARMOR-UTILS Paquete para hacer esta operación. Ejecute el siguiente comando y presione 'Y'Cuando solicite el permiso para instalar.
$ sudo apt-get install apararmor-utils
Hay un perfil llamado dhclient que se establece como modo forzado. Ejecute el siguiente comando para cambiar el modo para quejarse.
$ sudo aa-complement /sbin /dhclient
Ahora, si verifica el estado de los perfiles de Apparmor nuevamente, verá que el modo de ejecución de Dhclient se cambia al modo de queja.
Puede cambiar nuevamente el modo a modo ejecutado utilizando el siguiente comando.
$ sudo aa-enforce /sbin /dhclient
La ruta para establecer el modo de ejecución para todos los perfiles de ApparMore es /etc/aparmor.d/*.
Ejecute el siguiente comando para establecer el modo de ejecución de todos los perfiles en modo queja:
$ sudo aa-complement /etc /apararmor.d/*
Ejecute el siguiente comando para establecer el modo de ejecución de todos los perfiles en modo forzado:
$ sudo aa-enforce /etc /apararmor.d/*
Crea un nuevo perfil
Todos los programas instalados no crean perfiles de Apparmore de forma predeterminada. Para mantener el sistema más seguro, es posible que deba crear un perfil de Apparmore para cualquier aplicación en particular. Para crear un nuevo perfil, debe averiguar aquellos programas que no están asociados con ningún perfil, pero necesitan seguridad. aplicado El comando se usa para verificar la lista. Según la salida, los primeros cuatro procesos no están asociados con ningún perfil y los últimos tres procesos están confinados por tres perfiles con modo forzado por defecto.
$ sudo aa-no concentrado
Supongamos que desea crear el perfil para el proceso NetworkManager que no está confinado. Correr AA-Genprof comando para crear el perfil. Tipo 'F'Para terminar el proceso de creación de perfil. Cualquier perfil nuevo se crea en modo ejecutado de forma predeterminada. Este comando creará un perfil vacío.
$ sudo aa-genprof networkmanager
No se definen reglas para ningún perfil recién creado y puede modificar el contenido del nuevo perfil editando el siguiente archivo para establecer la restricción para el programa.
$ sudo gato /etc /aparmor.d/usr.sbin.Gerente de Redes
Recargar todos los perfiles
Después de configurar o modificar cualquier perfil, debe volver a cargar el perfil. Ejecute el siguiente comando para recargar todos los perfiles de Apparmor existentes.
$ sudo systemctl recargar aparmor.servicio
Puede verificar los perfiles cargados actualmente utilizando el siguiente comando. Verá la entrada para el perfil recién creado del programa NetworkManager en la salida.
$ sudo gat/sys/kernel/seguridad/aparmor/perfiles
Por lo tanto, Apparmor es un programa útil para mantener su sistema seguro al establecer las restricciones necesarias para aplicaciones importantes.