AppArmor software di sicurezza per Linux | Linuxiano.it
Privacy Policy

AppArmor software di sicurezza per Linux

Profili AppArmor su Ubuntu

Application Armor in breve AppArmor è un software di sicurezza per Linux distribuito sotto licenza GNU General Public License. Dal 2005 fino al settembre 2007 fu sostenuto da Novell.

AppArmor permette all’amministratore di sistema di associare ad ogni programma un profilo di sicurezza che restringe le capacità del programma. Fa da supplemento alla tradizionale DAC.

AppArmor è implementato usando l’interfaccia dei Modelli di sicurezza Linux.

Fu creato in parte come alternativa a SELinux, ritenuto difficile da impostare e mantenere.

A differenza di SELinux, che si basa sull’applicazione di etichette ai file, AppArmor lavora sui percorsi dei file.

Dalla versione del kernel 2.6.35 è stata annunciata l’integrazione della piattaforma per consentire di potenziare i criteri delle policy d’accesso per i software GNU/Linux.

È definito come controllo di accesso obbligatorio o sistema MAC. Il pacchetto AppArmor è installato su Ubuntu come impostazione predefinita e tutti i profili vengono caricati al momento dell’avvio del sistema. I profili contengono l’elenco delle regole di controllo dell’accesso che sono memorizzate in etc / apparmor.d /.

È inoltre possibile proteggere qualsiasi applicazione installata creando un profilo AppArmor di tale applicazione.

I profili di possono essere in una delle due modalità

  • modalità ‘protesta’
  • modalità ‘applicazione’

Caratteristiche:

Il sistema non applica alcuna regola e le violazioni del profilo sono accettate con i registri quando si trova in modalità complain. Questa modalità è ottima per testare e sviluppare qualsiasi nuovo profilo. Le regole vengono applicate dal sistema in modalità forzata e se si verifica una violazione per qualsiasi profilo di applicazione, per essa non sarà consentita alcuna operazione, e il log del rapporto verrà generato in syslog o auditd. È possibile accedere a syslog dal percorso, / var / log / syslog. Come puoi controllare i profili AppArmor esistenti del tuo sistema, cambiare la modalità profilo e creare un nuovo profilo sono mostrati in questo articolo.

Controlla i profili AppArmor esistenti

Il comando apparmor_status viene utilizzato per visualizzare l’elenco profili AppArmor caricati. Esegui il comando con il permesso di root.

Terminale
  • sudo apparmor_status

profili-apparmor-ubuntu

L’elenco dei profili può essere variato in base al sistema operativo e ai pacchetti installati. Il seguente output apparirà in Ubuntu 17.10. Viene mostrato che 36 profili vengono caricati come profili AppArmor e tutti per impostazione predefinita sono impostati in modalità forzata. Qui, 3 processi, dhclient, cups-browsed e cupsd sono definiti dai profili con modalità forzata e non vi è alcun processo in modalità lamentela. È possibile modificare la modalità di esecuzione per qualsiasi profilo definito.

Modifica modalità profilo

Possiamo modificare la modalità profilo di qualsiasi processo protestato o viceversa. È necessario installare il pacchetto apparmor-utils per eseguire questa operazione. Esegui il seguente comando e premi ‘Y’ quando ti sarà richiesta l’autorizzazione per l’installazione.

Terminale
  • sudo apt-get install apparmor-utils

C’è un profilo chiamato dhclient che viene impostato come modalità forzata. Eseguire il seguente comando per cambiare la modalità in modalità reclamo.

Terminale
  • sudo aa-complain /sbin/dhclient

profili-apparmor-ubuntu

Ora, se controlli di nuovo lo stato dei profili AppArmor, vedrai la modalità di esecuzione di dhclient modificata in modalità reclamo.

profili-apparmor-ubuntu

È possibile modificare nuovamente in modalità forzata utilizzando il seguente comando.

Terminale
  • sudo aa-enforce /sbin/dhclient

profili-apparmor-ubuntu

Il percorso per impostare la modalità d’esecuzione per tutti i profili AppArmor è /etc/apparmor.d/*.

Eseguite il seguente comando per impostare la modalità d’esecuzione di tutti i profili in modalità complain:

Terminale
  • sudo aa-complain /etc/apparmor.d/*

Scrivete il seguente comando per impostare la modalità di esecuzione di tutti i profili in modalità forzata:

Crea un nuovo profilo

Per impostazione predefinita tutti i programmi installati non creano profili AppArmor, se volete mantenere il sistema più sicuro, per una particolare applicazione potrebbe essere necessario creare un profilo AppArmor. Per creare un nuovo profilo devi scoprire quei programmi che non sono associati a nessun profilo ma richiedono sicurezza. il comando app-unconfined viene utilizzato per controllare l’elenco. In base all’output, i primi quattro processi non sono associati a nessun profilo e gli ultimi tre processi sono limitati da tre profili con modalità forzata per impostazione predefinita.

Terminale
  • sudo aa-unconfined

 

profili-apparmor-ubuntu

Supponiamo di voler creare il profilo per il processo rhythmbox che non è limitato. Esegui il comando aa-genprog per creare il profilo. Digita ‘F‘ per terminare il processo di creazione.

Per impostazione predefinita ogni nuovo profilo viene creato in modalità forzata. Questo comando creerà un profilo vuoto.

Terminale
  • sudo aa-genprof rhythmbox

profili-apparmor-ubuntu

Per qualsiasi profilo non viene definita nessuna regola ed è possibile modificare il contenuto del nuovo profilo, modificando il seguente file per impostare la restrizione del programma.

Terminale
  • sudo cat /etc/apparmor.d/usr.sbin.rhythmbox

profili-apparmor-ubuntu

Ricarica tutti i profili

Dopo aver impostato o modificato un profilo, devi ricaricare il profilo. Eseguire il seguente comando per ricaricare tutti i profili AppArmor esistenti.

Terminale
  • sudo systemctl reload apparmor.service

È possibile controllare i profili attualmente caricati utilizzando il seguente comando.

Nell’output verrà visualizzata la voce relativa al profilo appena creato del programma rhythmbox.

Terminale
  • sudo cat /sys/kernel/security/apparmor/profiles

profili-apparmor-ubuntu
Quindi, AppArmor è un programma utile per proteggere il tuo sistema impostando le restrizioni necessarie per le applicazioni importanti.

Disattivare AppArmor

Se qualche processo funziona come previsto e se vi piace il debug i profili Appamor possono essere disattivati temporaneamente.

Terminale
  • /etc/init.d/apparmor stop
* Clearing AppArmor profiles cache [OK]

Disabilitare AppArmor

Eseguendo il comando su chiarirà solamente il nascondiglio di profili.

Terminale
  • /etc/init.d/apparmor teardown
* Unloading AppArmor profiles [OK]