Profils Apparmor sur Ubuntu

Apparmor, un module de sécurité du noyau Linux, peut restreindre l'accès du système par un logiciel installé à l'aide de profils spécifiques à l'application. Apparmor est défini comme un contrôle d'accès obligatoire ou un système Mac. Certains profils sont installés au moment de l'installation du package et Apparmor contient certains profils d'addition des packages Apparmor-profiles. Le package Apparmor est installé sur Ubuntu par défaut et tous les profils par défaut sont chargés au moment du démarrage du système. Les profils contiennent la liste des règles de contrôle d'accès qui sont stockées dans etc / Apparmor.d/.

Vous pouvez également protéger toute application installée en créant un profil Apparmor de cette application. Les profils Apparmor peuvent être dans l'un des deux modes: mode «plaindre» ou mode «application». Le système n'applique aucune règle et les violations de profil sont acceptées avec des journaux en mode plainte. Ce mode est préférable de tester et de développer tout nouveau profil. Les règles sont appliquées par le système en mode forcé et si une violation se produit pour un profil d'application, aucune opération ne sera autorisée pour cette demande et le journal des rapports sera généré dans Syslog ou Auditd. Vous pouvez accéder au syslog à partir de l'emplacement, / var / log / syslog. Comment vous pouvez consulter les profils Apparmor existants de votre système, modifier le mode de profil et créer un nouveau profil sont affichés dans cet article.

Vérifiez les profils d'apparmor existants

apparmor_status La commande est utilisée pour afficher la liste des profils Apparmor chargés avec statut. Exécutez la commande avec l'autorisation racine.

$ sudo apparmor_status

La liste des profils peut être variée en fonction du système d'exploitation et des packages installés. La sortie suivante apparaîtra dans Ubuntu 17.dix. Il est montré que 23 profils sont chargés sous forme de profils Apparmor et tous sont définis en mode forcé par défaut. Ici, 3 processus, DHClient, Cups-Browed et CUPSD sont définis par les profils avec mode forcé et il n'y a pas de processus en mode plainte. Vous pouvez modifier le mode d'exécution pour tout profil défini.

Modifier le mode de profil

Vous pouvez modifier le mode de profil de tout processus de la plainte pour forcer ou vice versa. Vous devez installer le apparmor-utils Package pour faire cette opération. Exécutez la commande suivante et appuyez surY'Quand il demande l'autorisation d'installation.

$ sudo apt-get install apparmor-utils

Il y a un profil nommé dhclient qui est défini en mode forcé. Exécutez la commande suivante pour modifier le mode pour se plaindre.

$ sudo aa-complément / sbin / dhclient

Maintenant, si vous vérifiez à nouveau l'état des profils Apparmor, vous verrez le mode d'exécution de DHClient est modifié en mode plainte.

Vous pouvez à nouveau modifier le mode en mode forcé en utilisant la commande suivante.

$ sudo aa-enforce / sbin / dhclient

Le chemin d'accès pour définir le mode d'exécution pour tous les profils Apparmore est / etc / Apparmor.d/*.

Exécutez la commande suivante pour définir le mode d'exécution de tous les profils en mode plainte:

$ sudo aa-complément / etc / Apparmor.d/*

Exécutez la commande suivante pour définir le mode d'exécution de tous les profils en mode forcé:

$ sudo aa-enforce / etc / Apparmor.d/*

Créer un nouveau profil

Tous les programmes installés ne créent pas les profils Apparmore par défaut. Pour garder le système plus sécurisé, vous devrez peut-être créer un profil Apparmore pour une application particulière. Pour créer un nouveau profil, vous devez découvrir les programmes qui ne sont associés à aucun profil mais qui ont besoin de sécurité. apparente l'application La commande est utilisée pour vérifier la liste. Selon la sortie, les quatre premiers processus ne sont associés à aucun profil et les trois derniers processus sont limités par trois profils avec mode forcé par défaut par défaut.

$ sudo aa-unconfined

Supposons que vous souhaitez créer le profil pour le processus NetworkManager qui n'est pas confiné. Courir aa-genprof commande pour créer le profil. Taper 'F'Pour terminer le processus de création de profil. Tout nouveau profil est créé en mode forcé par défaut. Cette commande créera un profil vide.

$ sudo aa-genprof NetworkManager

Aucune règle ne définit un profil nouvellement créé et vous pouvez modifier le contenu du nouveau profil en modifiant le fichier suivant pour définir la restriction du programme.

$ sudo chat / etc / Apparmor.d / usr.sbin.Gestionnaire de réseau

Recharger tous les profils

Après avoir réglé ou modifié tout profil, vous avez pour recharger le profil. Exécutez la commande suivante pour recharger tous les profils Apparmor existants.

$ sudo systemctl reload Apparmor.service

Vous pouvez vérifier les profils actuellement chargés en utilisant la commande suivante. Vous verrez l'entrée du profil nouvellement créé du programme NetworkManager dans la sortie.

$ sudo chat / sys / noyau / sécurité / apparmor / profils

Ainsi, Apparmor est un programme utile pour assurer la sécurité de votre système en définissant les restrictions nécessaires pour des applications importantes.