Te doy la bienvenida a nuestra web, en este sitio vas a hallar la solucíon de lo que andabas buscando.
Solución:
Lo que es
Apparmor es un sistema de control de acceso obligatorio (o MAC). Utiliza mejoras del kernel de LSM para restringir los programas a ciertos recursos. AppArmor hace esto con perfiles cargados en el kernel cuando se inicia el sistema. Apparmor tiene dos tipos de modos de perfil, cumplimiento y quejas. Perfiles en modo de cumplimiento hacer cumplir las reglas de ese perfil e informar los intentos de infracción en syslog
o auditd
. Los perfiles en modo de queja no aplican ninguna regla de perfil, solo registran los intentos de infracción.
En Ubuntu, Apparmor está instalado por defecto. Limita las aplicaciones a perfiles para determinar a qué archivos y permisos necesita acceder un programa. Algunas aplicaciones vendrán con sus propias propiedades y se pueden encontrar más en el apparmor-profiles
paquete.
Puedes instalar apparmor-profiles
mediante la ejecución sudo apt-get install apparmor-profiles
.
Encontré un buen ejemplo de Apparmor en los foros de Ubuntu que reescribí para esta publicación.
Apparmor es un marco de seguridad que evita que las aplicaciones se vuelvan malvadas. Por ejemplo: si ejecuto Firefox y visito un sitio incorrecto que intenta instalar malware, eliminará mi
home
carpeta, Apparmor tiene límites en Firefox aunque le impide hacer algo que no quiero (como acceder a mi música, documentos, etc.). De esta manera, incluso si su aplicación está comprometida, no se puede hacer ningún daño.
Cómo funciona
los apparmor-utils
El paquete contiene herramientas de línea de comandos para configurar Apparmor. Utilizándolo puede cambiar el modo de ejecución de Apparmor, buscar el estado de un perfil, crear nuevos perfiles, etc.
Estos son los comandos más comunes:
Nota: Los perfiles se almacenan en /etc/apparmor.d/
- Puede comprobar el estado de Apparmor con
sudo apparmor_status
. Obtendrá una lista de todos los perfiles * cargados, todos los perfiles en modo de imposición, todos los perfiles en modo de queja, qué procesos están definidos en imposición / queja, etc. - Poner un perfil en quejar modo que usas
sudo aa-complain /path/to/bin
, dónde/path/to/bin
son los programasbin
carpeta. Por ejemplo, ejecutando:sudo aa-complain /usr/bin/firefox
pondrá Firefox en modo de queja. - Tu usas
sudo aa-enforce /path/to/bin
para hacer cumplir un perfil de programas. - Puedes cargar todos Perfiles en modos de queja / imposición con
sudo aa-complain /etc/apparmor.d/*
ysudo aa-enforce.d/*
respectivamente.
Para cargar un perfil en el kernel, usaría apparmor_parser
. Puede recargar perfiles usando el -r
parámetro.
- Para cargar un perfil, utilice:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
, que imprime eficazmente el contenido deprofile.name
en el analizador sintáctico de Apparmor. - Para recargar un perfil, usa el
-r
parámetro, así:cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r
- Para recargar todos los perfiles de Apparmor use:
sudo service apparmor reload
Para deshabilitar un perfil, Enlace es a /etc/apparmor.d/disable/
utilizando ln
como esto: sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/
entonces corre: sudo apparmor_parser -R /etc/apparmor.d/profile.name
.
Nota: No confundir apparmor_parser -r
con apparmor_parser -R
¡NO SÓN LA MISMA COSA!
- Para volver a habilitar un perfil, elimine el enlace simbólico a él en
/etc/apparmor.d/disable/
luego cárguelo usando el-a
parámetro.sudo rm /etc/apparmor.d/disable/profile.name
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
- Puede desactivar Apparmor con
sudo service apparmor stop
y elimine el módulo del kernel usandosudo update-rc.d -f apparmor defaults
- Inicie Apparmor con
sudo service apparmor start
y cargue los módulos del kernel consudo update-rc.d apparmor defaults
Perfiles
Los perfiles se almacenan en /etc/apparmor.d/
y tienen el nombre de la ruta completa al ejecutable que perfilan, reemplazando ‘/’ con ‘.’. Por ejemplo /etc/apparmor.d/bin.ping
es el perfil de ping
en /bin
.
Hay dos tipos principales de entradas que se utilizan en los perfiles:
-
Entradas de ruta determinar a qué archivos puede acceder una aplicación.
-
Capacidad Las entradas determinan qué privilegios puede utilizar un proceso.
Veamos el perfil para ping
, situado en etc/apparmor.d/bin.ping
, como ejemplo.
#include
/bin/ping flags=(complain)
#include
#include
#include
capability net_raw,
capability setuid,
network inet raw,
/bin/ping mixr,
/etc/modules.conf r,
#include
Incluye el archivo global
en el directorio tunables
, esto permite que las declaraciones pertenecientes a múltiples aplicaciones se coloquen en un archivo común.
/bin/ping flags=(complain)
establece la ruta al programa perfilado y establece el modo para quejarse.
capability net_raw
permite que la aplicación acceda al CAP_NET_RAW Posix.1e
capacidad.
/bin/ping mixr
permite que la aplicación lea y ejecute el acceso al archivo.
/etc/modules.conf r,
los r
da la aplicación leer privilegios para /etc/modules.conf
Nota: Después de crear / editar un perfil, debe volver a cargar el perfil para que los cambios surtan efecto.
Aquí hay una lista de permisos que puede usar:
r
– leerw
– escribirux
– Ejecución sin restriccionesUx
– Ejecución sin restricciones: limpie el medio ambientepx
– Ejecución discreta del perfilPx
– Ejecución discreta del perfil: limpie el entornoix
– Heredar ejecutarm
– permitirPROT_EXEC
conmmap(2)
llamadasl
– Enlace
Fuentes
- http://ubuntuforums.org/showthread.php?t=1606499
- http://ubuntuforums.org/showthread.php?t=1008906
- https://wiki.ubuntu.com/AppArmor
- https://help.ubuntu.com/12.10/serverguide/apparmor.html
AppArmor es un sistema de control de acceso obligatorio (MAC) que es una mejora del kernel (LSM) para limitar los programas a un conjunto limitado de recursos. El modelo de seguridad de AppArmor es vincular el control de acceso attributes a los programas en lugar de a los usuarios. El confinamiento de AppArmor se proporciona a través de perfiles cargados en el kernel, generalmente al arrancar. Los perfiles de AppArmor pueden estar en uno de dos modos: cumplimiento y quejas. Los perfiles cargados en el modo de aplicación darán lugar a la aplicación de la política definida en el perfil, así como a informar de los intentos de infracción de la política (ya sea a través de syslog o auditado). Los perfiles en el modo de queja no harán cumplir la política, sino que informarán sobre los intentos de infracción de la política.
AppArmor es diferente de otros sistemas MAC en Linux en que está basado en rutas, permite mezclar perfiles de modo de cumplimiento y quejas, utiliza archivos de inclusión para facilitar el desarrollo y tiene una barrera de entrada mucho más baja que otros sistemas MAC populares.
AppArmor es una tecnología establecida que se vio por primera vez en Immunix y luego se integró en Ubuntu, Novell / SUSE y Mandriva. La funcionalidad principal de AppArmor está en el kernel principal de Linux desde 2.6.36 en adelante; AppArmor, Ubuntu y otros desarrolladores están trabajando para fusionar la funcionalidad adicional de AppArmor en el kernel principal.
Tengo algunos enlaces más útiles para ti: Wiki.Ubuntu.com Ubuntuforums.org
Guías de Apparmor para Ubuntu 12.04 y Ubuntu 12.10
Espero que te ayude.
Aquí hay una cita de la wiki de Apparmor:
AppArmor es un sistema de seguridad de aplicaciones Linux eficaz y fácil de usar. AppArmor protege de forma proactiva el sistema operativo y las aplicaciones de amenazas externas o internas, incluso ataques de día cero, imponiendo un buen comportamiento y evitando que se aprovechen incluso las fallas desconocidas de las aplicaciones. Las políticas de seguridad de AppArmor definen completamente a qué recursos del sistema pueden acceder las aplicaciones individuales y con qué privilegios. Se incluyen varias políticas predeterminadas con AppArmor y utilizan una combinación de static herramientas basadas en el aprendizaje y el análisis, las políticas de AppArmor incluso para aplicaciones muy complejas se pueden implementar con éxito en cuestión de horas.
Reseñas y puntuaciones del artículo
Tienes la opción de añadir valor a nuestro contenido informacional contribuyendo tu experiencia en las explicaciones.