Słyszę wiele rozmów na temat zbroi, chcę wiedzieć, co następuje:

• Co to jest apparmor?
• Jak działa apparmor?

Co to jest

Apparmor to system obowiązkowej kontroli dostępu (lub MAC). Wykorzystuje ulepszenia jądra LSM, aby ograniczyć programy do niektórych zasobów. AppArmor robi to z profilami załadowanymi do jądra podczas uruchamiania systemu. Apparmor ma dwa rodzaje trybów profilu, egzekwowania i składania skarg. Profile w trybie wymuszania wymuszają reguły tego profilu i zgłaszają próby naruszenia zasad w sysloglub auditd. Profile w trybie narzekań nie wymuszają żadnych reguł profilowych, rejestrują jedynie próby naruszenia zasad.

W Ubuntu Apparmor jest instalowany domyślnie. Ogranicza aplikacje do profili, aby określić, do jakich plików i uprawnień ma dostęp program. Niektóre aplikacje będą miały własne właściwości, a więcej można znaleźć w apparmor-profilespakiecie.

Możesz zainstalować apparmor-profiles, uruchamiając sudo apt-get install apparmor-profiles.

Znalazłem dobry przykład Apparmor na forach Ubuntu, który przepisałem na ten post.

Apparmor to platforma bezpieczeństwa, która zapobiega przekształcaniu aplikacji w zło. Na przykład: Jeśli uruchomię Firefoksa i odwiedzę złą stronę, która próbuje zainstalować złośliwe oprogramowanie, które usunie mój homefolder, Apparmor ma ograniczenia w Firefoksie, ale uniemożliwia mu robienie czegoś, czego nie chcę (np. Uzyskiwanie dostępu do mojej muzyki, dokumentów itp.). W ten sposób nawet jeśli Twoja aplikacja zostanie naruszona, nie możesz wyrządzić szkody.

Jak to działa

apparmor-utilsPakiet zawiera narzędzia wiersza poleceń do konfigurowania AppArmor. Za jego pomocą możesz zmienić tryb wykonywania Apparmor, znaleźć status profilu, utworzyć nowe profile itp.

Oto najczęstsze polecenia:

Uwaga: Profile są przechowywane w/etc/apparmor.d/

• Możesz sprawdzić status Apparmor za pomocą sudo apparmor_status. Otrzymasz listę wszystkich profili * załadowanych, wszystkich profili w trybie egzekwowania, wszystkich profili w trybie narzekań, jakie procesy są zdefiniowane w narzucaniu / narzekaniu itp.
• Aby ustawić profil w trybie narzekania , którego używasz sudo aa-complain /path/to/bin, gdzie /path/to/binjest binfolder programów . Na przykład uruchomienie: sudo aa-complain /usr/bin/firefoxspowoduje przejście Firefoksa w tryb narzekań.
• Użyć sudo aa-enforce /path/to/bindo wymuszenia profil programów.
• Możesz załadować wszystkie profile do trybów składania skarg / egzekwowania za pomocą sudo aa-complain /etc/apparmor.d/*i sudo aa-enforce.d/*.

Aby załadować profil do jądra, którego byś użył apparmor_parser. Możesz ponownie załadować profile za pomocą -rparametru.

• Aby załadować profil, użyj :, cat /etc/apparmor.d/profile.name | sudo apparmor_parser -aktóry skutecznie drukuje zawartość profile.nameparsera Apparmor.
• Aby ponownie załadować profil, użyj -rparametru:cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r
• Aby ponownie załadować wszystkie profile Apparmor, użyj: sudo service apparmor reload

Aby wyłączyć profil, który odwołuje się go /etc/apparmor.d/disable/za pomocą lntak: sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/uruchom: sudo apparmor_parser -R /etc/apparmor.d/profile.name.

Uwaga: Nie mylapparmor_parser -rz nimi,apparmor_parser -R NIE SĄ TAM SAMĄ RZECZĄ!

• Aby ponownie włączyć profil, usuń dowiązanie symboliczne do niego, /etc/apparmor.d/disable/a następnie załaduj go za pomocą -aparametru.sudo rm /etc/apparmor.d/disable/profile.name cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
• Możesz wyłączyć Apparmor za pomocą sudo service apparmor stopi usunąć moduł jądra za pomocąsudo update-rc.d -f apparmor defaults
• Uruchom Apparmor za pomocą sudo service apparmor starti ładuj moduły jądra za pomocąsudo update-rc.d apparmor defaults

Profile

Profile są przechowywane /etc/apparmor.d/i nazywane po pełnej ścieżce do pliku wykonywalnego, który profilują, zastępując „/” na „.”. Na przykład /etc/apparmor.d/bin.pingjest profil o pingw /bin.

Istnieją dwa główne typy wpisów używanych w profilach:

1. Wpisy ścieżki określają, do których plików aplikacja może uzyskać dostęp.

2. Wpisy zdolności określają, jakich uprawnień może używać proces.

Przyjrzyjmy się profilowi pingznajdującemu się etc/apparmor.d/bin.pingjako przykład.

#include <tunables/global>
/bin/ping flags=(complain) {
  #include <abstractions/base>
  #include <abstractions/consoles>
  #include <abstractions/nameservice>

  capability net_raw,
  capability setuid,
  network inet raw,

  /bin/ping mixr,
  /etc/modules.conf r,
}  

#include <tunables/global>Uwzględnia plik globalw katalogu tunables, pozwala to na umieszczenie instrukcji dotyczących wielu aplikacji we wspólnym pliku.

/bin/ping flags=(complain)ustawia ścieżkę do profilowanego programu i ustawia tryb narzekania.

capability net_rawumożliwia aplikacji dostęp do CAP_NET_RAW Posix.1efunkcji.

/bin/ping mixr umożliwia aplikacji odczyt i wykonanie dostępu do pliku.

/etc/modules.conf r,rDaje aplikacja odczytu przywileje/etc/modules.conf

Uwaga: po utworzeniu / edycji profilu należy ponownie załadować profil, aby zmiany odniosły skutek.

Oto lista uprawnień, których możesz użyć:

• r - przeczytaj
• w - pisać
• ux - Nieograniczone wykonanie
• Ux - Unstrained Execute - szoruj środowisko
• px - Wykonanie profilu dyskretnego
• Px - Wykonywanie profilu dyskretnego - szorowanie środowiska
• ix - Dziedzicz wykonanie
• m - pozwalają PROT_EXECz mmap(2)połączeń
• l - link

Źródła

• http://ubuntuforums.org/showthread.php?t=1606499
• http://ubuntuforums.org/showthread.php?t=1008906
• https://wiki.ubuntu.com/AppArmor
• https://help.ubuntu.com/12.10/serverguide/apparmor.html

AppArmor to system obowiązkowej kontroli dostępu (MAC), który jest rozszerzeniem jądra (LSM) w celu ograniczenia programów do ograniczonego zestawu zasobów. Model bezpieczeństwa AppArmor polega na wiązaniu atrybutów kontroli dostępu z programami, a nie z użytkownikami. Ograniczenie AppArmor jest zapewniane przez profile ładowane do jądra, zwykle podczas rozruchu. Profile AppArmor mogą być w jednym z dwóch trybów: egzekwowania i składania skarg. Profile załadowane w trybie wymuszania spowodują wymuszenie zasad określonych w profilu, a także zgłoszenie prób naruszenia zasad (za pośrednictwem syslog lub audytu). Profile w trybie narzekania nie będą egzekwować zasad, ale zamiast tego będą zgłaszać próby naruszenia zasad.

AppArmor różni się od niektórych innych systemów MAC w Linuksie tym, że jest oparty na ścieżkach, pozwala na mieszanie profili trybu egzekwowania i narzekań, wykorzystuje pliki dołączone w celu ułatwienia rozwoju i ma znacznie niższą barierę wejścia niż inne popularne systemy MAC.

AppArmor to sprawdzona technologia, która po raz pierwszy pojawiła się w Immunix, a później została zintegrowana z Ubuntu, Novell / SUSE i Mandriva. Podstawowa funkcjonalność AppArmor znajduje się w głównym jądrze Linuksa od wersji 2.6.36; AppArmor, Ubuntu i inni programiści pracują nad połączeniem dodatkowej funkcjonalności AppArmor z jądrem głównym.

Mam kilka innych pomocnych linków do Ciebie: Wiki.Ubuntu.com Ubuntuforums.org

Przewodniki Apparmor dla Ubuntu 12.04 i Ubuntu 12.10

Mam nadzieję, że ci to pomoże.

Oto cytat z wiki Apparmor :

AppArmor to skuteczny i łatwy w użyciu system bezpieczeństwa aplikacji Linux. AppArmor proaktywnie chroni system operacyjny i aplikacje przed zagrożeniami zewnętrznymi lub wewnętrznymi, nawet atakami zero-day, poprzez wymuszanie dobrego zachowania i zapobieganie wykorzystywaniu nawet nieznanych wad aplikacji. Zasady bezpieczeństwa AppArmor całkowicie określają, do jakich zasobów systemowych mogą uzyskiwać dostęp poszczególne aplikacje i jakie uprawnienia. AppArmor zawiera wiele domyślnych zasad, a dzięki połączeniu zaawansowanych narzędzi analizy statycznej i narzędzi opartych na uczeniu się, zasady AppArmor dla nawet bardzo złożonych aplikacji można wdrożyć z powodzeniem w ciągu kilku godzin.