Saya mendengar banyak pembicaraan tentang apparmor, saya ingin tahu yang berikut:
- Apa itu apparmor?
- Bagaimana cara kerja apparmor?
Apparmor adalah sistem Kontrol Akses Wajib (atau MAC). Ia menggunakan peningkatan kernel LSM untuk membatasi program untuk sumber daya tertentu. AppArmor melakukan ini dengan profil dimuat ke dalam kernel ketika sistem dimulai. Apparmor memiliki dua jenis mode profil, penegakan dan keluhan. Profil dalam mode penegakan menegakkan aturan profil dan melaporkan upaya pelanggaran di syslog
atau auditd
. Profil dalam mode pengaduan tidak memberlakukan aturan profil apa pun, cukup catat upaya pelanggaran.
Di Ubuntu Apparmor diinstal secara default. Ini membatasi aplikasi ke profil untuk menentukan file dan izin apa yang perlu diakses oleh suatu program. Beberapa aplikasi akan datang dengan propertinya sendiri dan lebih banyak lagi dapat ditemukan dalam apparmor-profiles
paket.
Anda dapat menginstal apparmor-profiles
dengan menjalankan sudo apt-get install apparmor-profiles
.
Saya menemukan contoh Apparmor di forum Ubuntu yang saya tulis ulang untuk posting ini.
Apparmor adalah kerangka kerja keamanan yang mencegah aplikasi dari mengubah kejahatan. Sebagai contoh: Jika saya menjalankan Firefox dan mengunjungi situs yang buruk yang mencoba menginstal malware yang akan menghapus
home
folder saya , Apparmor memiliki batasan pada Firefox meskipun mencegahnya melakukan apa pun yang tidak saya inginkan (seperti mengakses musik, dokumen, dll). Dengan cara ini bahkan jika aplikasi Anda dikompromikan, tidak ada salahnya dapat dilakukan.
The apparmor-utils
paket berisi alat baris perintah untuk mengkonfigurasi AppArmor. Dengan menggunakannya Anda dapat mengubah mode eksekusi Apparmor, menemukan status profil, membuat profil baru, dll.
Ini adalah perintah yang paling umum:
Catatan: Profil disimpan di/etc/apparmor.d/
sudo apparmor_status
. Anda akan mendapatkan daftar semua profil * dimuat, semua profil dalam mode menegakkan, semua profil dalam mode komplain, proses apa yang didefinisikan dalam menegakkan / mengeluh, dll. sudo aa-complain /path/to/bin
, di mana folder /path/to/bin
program bin
. Misalnya, menjalankan: sudo aa-complain /usr/bin/firefox
akan membuat Firefox dalam mode keluhan.sudo aa-enforce /path/to/bin
untuk menegakkan profil program. sudo aa-complain /etc/apparmor.d/*
dan sudo aa-enforce.d/*
masing - masing. Untuk memuat profil ke dalam kernel yang akan Anda gunakan apparmor_parser
. Anda dapat memuat ulang profil menggunakan -r
parameter.
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
,, yang secara efektif mencetak konten profile.name
ke parser Apparmor.-r
parameter, seperti:cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r
sudo service apparmor reload
Untuk menonaktifkan profil Anda menghubungkan ke /etc/apparmor.d/disable/
menggunakan ln
seperti ini: sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/
kemudian jalankan: sudo apparmor_parser -R /etc/apparmor.d/profile.name
.
Catatan: Jangan bingungapparmor_parser -r
denganapparmor_parser -R
MEREKA BUKANLAH HAL YANG SAMA!
/etc/apparmor.d/disable/
lalu muat menggunakan -a
parameter.sudo rm /etc/apparmor.d/disable/profile.name
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
sudo service apparmor stop
dan menghapus modul kernel menggunakansudo update-rc.d -f apparmor defaults
sudo service apparmor start
dan muat modul kernel dengansudo update-rc.d apparmor defaults
Profil disimpan dalam /etc/apparmor.d/
dan diberi nama setelah path lengkap ke profil yang dapat dieksekusi, menggantikan '/' dengan '.'. Misalnya /etc/apparmor.d/bin.ping
adalah profil untuk ping
di /bin
.
Ada dua jenis entri utama yang digunakan dalam profil:
Entri Path menentukan file apa yang dapat diakses aplikasi.
Entri kemampuan menentukan hak istimewa apa yang dapat digunakan oleh proses.
Mari kita lihat profil untuk ping
, terletak di etc/apparmor.d/bin.ping
, sebagai contoh.
#include <tunables/global>
/bin/ping flags=(complain) {
#include <abstractions/base>
#include <abstractions/consoles>
#include <abstractions/nameservice>
capability net_raw,
capability setuid,
network inet raw,
/bin/ping mixr,
/etc/modules.conf r,
}
#include <tunables/global>
Termasuk file global
dalam direktori tunables
, ini memungkinkan pernyataan yang berkaitan dengan beberapa aplikasi untuk ditempatkan di file umum.
/bin/ping flags=(complain)
menetapkan jalur ke program yang diprofilkan dan mengatur mode untuk mengeluh.
capability net_raw
memungkinkan akses aplikasi ke CAP_NET_RAW Posix.1e
kapabilitas.
/bin/ping mixr
memungkinkan aplikasi membaca dan mengeksekusi akses ke file.
/etc/modules.conf r,
The r
memberikan aplikasi membaca hak istimewa untuk/etc/modules.conf
Catatan: Setelah membuat / mengedit profil, Anda perlu memuat ulang profil agar perubahan diterapkan.
Berikut adalah daftar izin yang dapat Anda gunakan:
r
- Baca w
- menulis ux
- Jalankan Unconstrained Ux
- Eksekusi Tanpa Batas - gosok lingkungan px
- Eksekusi profil diskrit Px
- Eksekusi profil diskrit - gosok lingkungan ix
- Mewarisi eksekusi m
- memungkinkan PROT_EXEC
dengan mmap(2)
panggilan l
- tautan
Saya mendapat beberapa Tautan yang lebih membantu untuk Anda: Wiki.Ubuntu.com Ubuntuforums.org
Panduan Apparmor untuk Ubuntu 12.04 & Ubuntu 12.10
Semoga itu bisa membantu Anda.
sumber
Berikut ini kutipan dari wiki Apparmor :
sumber