Apparmor – встроенный элемент информационной безопасности в опреционныйх системах Ubuntu аж с версии 7.10.
Работает apparmor по управлению доступом на основе имен, определяя права и файлы необходимые для процессов.
Основная настройка заключается в профилях. Определнные сервисы уже устанавливают свои профили.
В Ubuntu 16.04 утилита входила в состав ОС и была запущена в фоновом режиме после установке.
Установливается apparmor стандартно:
# apt-get install apparmor
Для добавления своих профилей , дополнительно ставим:
# apt-get install apparmor-profiles Теперь можно посмотреть наличие профилей и их статусы:
# sudo apparmor_status
Мы видим что всего у нас 17 профилей. Все 17 находятся в режиме ограничения.
Так же у профилей существует режим обучения [complain mode].
Перевести профили в различные режимы обучения/ограничения нам поможут команды:
# перевод в режим обучения# aa-complain /path/to/bin # перевод в режим ограничения # aa-enforce /path/to/bin
Профили находятся по пути /etc/apparmor.d/profile.itsecforu
Соответсвенно рассмотрим пример добавления и удаления профиля сервиса:
# добавление # rm /etc/apparmor.d/disable/usr.bin.itsecforu # cat /etc/apparmor.d/usr.bin.itsecforu | sudo apparmor_parser –a # удаление # ln -s /etc/apparmor.d/usr.bin.itsecforu/etc/apparmor.d/disable/ # apparmor_parser -R /etc/apparmor.d/usr.bin.itsecforu
Команда apparmor_parser служит для добавления и удаение в ядро профилей сервисов. -a и -R соотвественно.
Для вступления в силу изменений воспользуемся командой:
# /etc/init.d/apparmor reload