Saltar al contenido

¿Qué es apparmor?

Te doy la bienvenida a nuestra web, en este sitio vas a hallar la solucíon de lo que andabas buscando.

Solución:

Lo que es

Apparmor es un sistema de control de acceso obligatorio (o MAC). Utiliza mejoras del kernel de LSM para restringir los programas a ciertos recursos. AppArmor hace esto con perfiles cargados en el kernel cuando se inicia el sistema. Apparmor tiene dos tipos de modos de perfil, cumplimiento y quejas. Perfiles en modo de cumplimiento hacer cumplir las reglas de ese perfil e informar los intentos de infracción en syslog o auditd. Los perfiles en modo de queja no aplican ninguna regla de perfil, solo registran los intentos de infracción.

En Ubuntu, Apparmor está instalado por defecto. Limita las aplicaciones a perfiles para determinar a qué archivos y permisos necesita acceder un programa. Algunas aplicaciones vendrán con sus propias propiedades y se pueden encontrar más en el apparmor-profiles paquete.

Puedes instalar apparmor-profiles mediante la ejecución sudo apt-get install apparmor-profiles.

Encontré un buen ejemplo de Apparmor en los foros de Ubuntu que reescribí para esta publicación.

Apparmor es un marco de seguridad que evita que las aplicaciones se vuelvan malvadas. Por ejemplo: si ejecuto Firefox y visito un sitio incorrecto que intenta instalar malware, eliminará mi home carpeta, Apparmor tiene límites en Firefox aunque le impide hacer algo que no quiero (como acceder a mi música, documentos, etc.). De esta manera, incluso si su aplicación está comprometida, no se puede hacer ningún daño.

Cómo funciona

los apparmor-utils El paquete contiene herramientas de línea de comandos para configurar Apparmor. Utilizándolo puede cambiar el modo de ejecución de Apparmor, buscar el estado de un perfil, crear nuevos perfiles, etc.

Estos son los comandos más comunes:

Nota: Los perfiles se almacenan en /etc/apparmor.d/

  • Puede comprobar el estado de Apparmor con sudo apparmor_status. Obtendrá una lista de todos los perfiles * cargados, todos los perfiles en modo de imposición, todos los perfiles en modo de queja, qué procesos están definidos en imposición / queja, etc.
  • Poner un perfil en quejar modo que usas sudo aa-complain /path/to/bin, dónde /path/to/bin son los programas bin carpeta. Por ejemplo, ejecutando: sudo aa-complain /usr/bin/firefox pondrá Firefox en modo de queja.
  • Tu usas sudo aa-enforce /path/to/bin para hacer cumplir un perfil de programas.
  • Puedes cargar todos Perfiles en modos de queja / imposición con sudo aa-complain /etc/apparmor.d/* y sudo aa-enforce.d/* respectivamente.

Para cargar un perfil en el kernel, usaría apparmor_parser. Puede recargar perfiles usando el -r parámetro.

  • Para cargar un perfil, utilice: cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a, que imprime eficazmente el contenido de profile.name en el analizador sintáctico de Apparmor.
  • Para recargar un perfil, usa el -r parámetro, así: cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r
  • Para recargar todos los perfiles de Apparmor use: sudo service apparmor reload

Para deshabilitar un perfil, Enlace es a /etc/apparmor.d/disable/ utilizando ln como esto: sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/ entonces corre: sudo apparmor_parser -R /etc/apparmor.d/profile.name.

Nota: No confundir apparmor_parser -r con apparmor_parser -R ¡NO SÓN LA MISMA COSA!

  • Para volver a habilitar un perfil, elimine el enlace simbólico a él en /etc/apparmor.d/disable/ luego cárguelo usando el -a parámetro. sudo rm /etc/apparmor.d/disable/profile.namecat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
  • Puede desactivar Apparmor con sudo service apparmor stop y elimine el módulo del kernel usando sudo update-rc.d -f apparmor defaults
  • Inicie Apparmor con sudo service apparmor start y cargue los módulos del kernel con sudo update-rc.d apparmor defaults

Perfiles

Los perfiles se almacenan en /etc/apparmor.d/ y tienen el nombre de la ruta completa al ejecutable que perfilan, reemplazando ‘/’ con ‘.’. Por ejemplo /etc/apparmor.d/bin.ping es el perfil de ping en /bin.

Hay dos tipos principales de entradas que se utilizan en los perfiles:

  1. Entradas de ruta determinar a qué archivos puede acceder una aplicación.

  2. Capacidad Las entradas determinan qué privilegios puede utilizar un proceso.

Veamos el perfil para ping, situado en etc/apparmor.d/bin.ping, como ejemplo. 

#include 
/bin/ping flags=(complain) 
  #include 
  #include 
  #include 

  capability net_raw,
  capability setuid,
  network inet raw,

  /bin/ping mixr,
  /etc/modules.conf r,

#include Incluye el archivo global en el directorio tunables, esto permite que las declaraciones pertenecientes a múltiples aplicaciones se coloquen en un archivo común.

/bin/ping flags=(complain)establece la ruta al programa perfilado y establece el modo para quejarse.

capability net_raw permite que la aplicación acceda al CAP_NET_RAW Posix.1e capacidad.

/bin/ping mixr permite que la aplicación lea y ejecute el acceso al archivo.

/etc/modules.conf r, los r da la aplicación leer privilegios para /etc/modules.conf

Nota: Después de crear / editar un perfil, debe volver a cargar el perfil para que los cambios surtan efecto.

Aquí hay una lista de permisos que puede usar:

  • r – leer
  • w – escribir
  • ux – Ejecución sin restricciones
  • Ux – Ejecución sin restricciones: limpie el medio ambiente
  • px – Ejecución discreta del perfil
  • Px – Ejecución discreta del perfil: limpie el entorno
  • ix – Heredar ejecutar
  • m – permitir PROT_EXEC con mmap(2) llamadas
  • l – Enlace

Fuentes

  • http://ubuntuforums.org/showthread.php?t=1606499
  • http://ubuntuforums.org/showthread.php?t=1008906
  • https://wiki.ubuntu.com/AppArmor
  • https://help.ubuntu.com/12.10/serverguide/apparmor.html

AppArmor es un sistema de control de acceso obligatorio (MAC) que es una mejora del kernel (LSM) para limitar los programas a un conjunto limitado de recursos. El modelo de seguridad de AppArmor es vincular el control de acceso attributes a los programas en lugar de a los usuarios. El confinamiento de AppArmor se proporciona a través de perfiles cargados en el kernel, generalmente al arrancar. Los perfiles de AppArmor pueden estar en uno de dos modos: cumplimiento y quejas. Los perfiles cargados en el modo de aplicación darán lugar a la aplicación de la política definida en el perfil, así como a informar de los intentos de infracción de la política (ya sea a través de syslog o auditado). Los perfiles en el modo de queja no harán cumplir la política, sino que informarán sobre los intentos de infracción de la política.

AppArmor es diferente de otros sistemas MAC en Linux en que está basado en rutas, permite mezclar perfiles de modo de cumplimiento y quejas, utiliza archivos de inclusión para facilitar el desarrollo y tiene una barrera de entrada mucho más baja que otros sistemas MAC populares.

AppArmor es una tecnología establecida que se vio por primera vez en Immunix y luego se integró en Ubuntu, Novell / SUSE y Mandriva. La funcionalidad principal de AppArmor está en el kernel principal de Linux desde 2.6.36 en adelante; AppArmor, Ubuntu y otros desarrolladores están trabajando para fusionar la funcionalidad adicional de AppArmor en el kernel principal.

Tengo algunos enlaces más útiles para ti: Wiki.Ubuntu.com Ubuntuforums.org

Guías de Apparmor para Ubuntu 12.04 y Ubuntu 12.10

Espero que te ayude.

Aquí hay una cita de la wiki de Apparmor:

AppArmor es un sistema de seguridad de aplicaciones Linux eficaz y fácil de usar. AppArmor protege de forma proactiva el sistema operativo y las aplicaciones de amenazas externas o internas, incluso ataques de día cero, imponiendo un buen comportamiento y evitando que se aprovechen incluso las fallas desconocidas de las aplicaciones. Las políticas de seguridad de AppArmor definen completamente a qué recursos del sistema pueden acceder las aplicaciones individuales y con qué privilegios. Se incluyen varias políticas predeterminadas con AppArmor y utilizan una combinación de static herramientas basadas en el aprendizaje y el análisis, las políticas de AppArmor incluso para aplicaciones muy complejas se pueden implementar con éxito en cuestión de horas.

Reseñas y puntuaciones del artículo

Tienes la opción de añadir valor a nuestro contenido informacional contribuyendo tu experiencia en las explicaciones.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Tags : / /

Utiliza Nuestro Buscador

Preguntas Relacionadas:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *