Apparmor, російськомовна документація по ubuntu

AppArmor - це реалізація Модуля безпеки Лінукс з управління доступом на основі імен. AppArmor обмежує окремі програми набором перерахованих файлів і можливостями відповідно до правил Posix 1003.1e.

AppArmor встановлюється і завантажується за замовчуванням. Він використовує профілі додатків для визначення які файли і права доступу потрібні додатком. Деякі пакети встановлюють свої власні профілі, а додаткові профілі можна знайти в пакеті apparmor-profiles.

Для установки пакета apparmor-profiles наберіть в терміналі:

Профілі AppArmor мають два режими виконання:

Фіксації / Навчання. порушення профілю вирішуються і зберігаються в журналі. Корисно для тестування і розробки нових профілів

Приписів / Обмежень. примушує слідувати політиці профілю, при цьому також записує порушення в журнал.

Пакет apparmor-utils містить утиліти командного рядка, які можна використовувати для зміни режиму виконання AppArmor, пошуку статусу профілю, створення нових профілів і т.п.

2. aa-complain переводить профіль в режим навчання (complain).

3. aa-enforce переводить профіль в режим обмежень (enforce).

4. Профілі AppArmor розташовані в каталозі /etc/apparmor.d. Його можна використовувати для управління режимом всіх профілів. Введіть наступну команду для перекладу всіх профілів в режим навчання:

Переклад всіх профілів в режим обмежень:

5. Команда apparmor_parser використовується для завантаження профілю в ядро. Вона також може використовуватися для повторного завантаження завантаженого профілю при використанні опції # '- r #'. Для завантаження введіть:

6. /etc/init.d/apparmor служить для перезавантаження всіх профілів:

7. Директорія /etc/apparmor.d/disable може використовуватися спільно з опцією apparmor_parser -R для відключення профілю.

Для активації відключеного профілю видаліть символічне посилання на профіль в /etc/apparmor.d/disable/. Потім завантажте профіль використовуючи опцію # '- a #'.

8. AppArmor можна відключити, а модуль ядра вивантажити наступною командою:

9. Для повторної активації AppArmor введіть:

Замініть profile.name на ім'я вашого профілю, яким ви хочете керувати. Також необхідно замінити / path / to / bin / на реальний шлях виполненять файлу. Наприклад, для команди ping використовуйте / bin / ping

Профілі AppArmor - це прості текстові файли, які розташовані в /etc/apparmor.d/. Файли профілю називаються відповідно повного шляху до виконуваного файлу, яким вони керують, з заміною символу "/" на ".". Наприклад /etc/apparmor.d/bin.ping - це профіль AppArmor для команди / bin / ping.

Існує два основних типи правил, використовуваних в профілі:

1. Записи шляхів (Path entries): які описують до яких файлів програма має доступ в файлової системі. 2. Записи дозволів (Capability entries): визначають які права обмежуваний процес має право використовувати.

Як приклад подивимося /etc/apparmor.d/bin.ping:

#include . включає оператори з інших файлів. Це дозволяє операторам, які належать до декількох додатків знаходиться в одному загальному файлі.

/ Bin / ping flags = (complain). шлях до програми, керованої профілем, також встановлює режим навчання.

capability net_raw ,. дозволяє додатку доступ до можливостей CAP_NET_RAW Posix.1e.

/ Bin / ping mixr ,. дозволяє додатку доступ на читання і виконання файлу.

Після редагування файлу профілю, він повинен бути перезавантажений. Для детальної інформації зверніться до розділу Використання AppArmor

1. Розробка плану тестування. Спробуйте подумати про те як додаток буде виконуватися. План тестування варто розділити на маленькі тестові блоки. Кожен тестовий блок повинен мати короткий опис і перелік кроків виконання. Деякі стандартні тестові блоки:

2. Створення нового профілю. Використовуйте aa-genprof для створення нового профілю. Команда в терміналі:

3. Щоб отримати ваш новий профіль в складі пакету apparmor-profiles. зареєструйте проблему в Launchpad для пакета AppArmor.

Увімкніть ваш план тестування і тестові блоки.

Приєднайте ваш новий профіль до зареєстрованої проблеми.

Коли програма веде себе неправильно, проаналізуйте повідомлення відправлені в файли журналів. Програма aa-logprof може бути використана для сканування файлів журналу AppArmor для перевірки повідомлень, їх розгляду (аналізу) і поновлення профілів. Команда в терміналі:

Дивіться AppArmor Administration Guide для додаткових опцій налаштування.

Для уточнення використання AppArmor з іншими випусками Ubuntu дивіться сторінку AppArmor Community Wiki.

Сторінка OpenSUSE AppArmor - ще одне знайомство з AppArmor.

Гарне місце для питань підтримки AppArmor і залучення в співтовариство Ubuntu Server - IRC канал # ubuntu-server на freenode.