См. SELinuxAppArmor рассматривается как замена SELinux, который иногда считается сложным в настройке и обслуживании.
В отличие от SELinux, работа которого заключается в наложении меток на файлы, AppArmor работает с путями к файлам.
Сторонники AppArmor утверждают, что он менее сложен и прост в настройке, чем SELinux.
AppArmor
Модераторы: Olej, adminn, vikos
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
AppArmor
Шпаргалка по AppArmor для системных администраторов Linux
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
AppArmor
Многие из вас наверняка слышали о AppArmor, работая с системами на базе Debian, в частности, Ubuntu.
...
Application Armor, сокращенно AppArmor, – это модуль безопасности в системах Linux.
Он представляет собой систему мандатного контроля доступа (Mandatory Access Control, MAC), используемую ядром Linux для ограничения возможностей программы в соответствии с ее профилями.
Впервые она была замечена в Immunix, а затем интегрирована в системы Novell/SUSE, Mandriva и Ubuntu.
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
AppArmor
Код: Выделить всё
olej@R420:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Linuxmint
Description: Linux Mint 21.2
Release: 21.2
Codename: victoria
Код: Выделить всё
olej@R420:~$ sudo apparmor_status
[sudo] пароль для olej:
apparmor module is loaded.
32 profiles are loaded.
30 profiles are in enforce mode.
/usr/bin/evince
/usr/bin/evince-previewer
/usr/bin/evince-previewer//sanitized_helper
/usr/bin/evince-thumbnailer
/usr/bin/evince//sanitized_helper
/usr/bin/man
/usr/bin/redshift
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/lib/lightdm/lightdm-guest-session
/usr/lib/lightdm/lightdm-guest-session//chromium
/usr/sbin/cups-browsed
/usr/sbin/cupsd
/usr/sbin/cupsd//third_party
/usr/sbin/haveged
/{,usr/}sbin/dhclient
libreoffice-senddoc
libreoffice-soffice//gpg
libreoffice-xpdfimport
lsb_release
man_filter
man_groff
nvidia_modprobe
nvidia_modprobe//kmod
system_tor
tcpdump
torbrowser_firefox
torbrowser_tor
2 profiles are in complain mode.
libreoffice-oosplash
libreoffice-soffice
0 profiles are in kill mode.
0 profiles are in unconfined mode.
4 processes have profiles defined.
4 processes are in enforce mode.
/usr/sbin/cups-browsed (1944)
/usr/sbin/cupsd (1379)
/usr/sbin/haveged (1098)
/usr/bin/tor (1483) system_tor
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.
Код: Выделить всё
olej@R420:~$ apt contains apparmor_status
apparmor: /usr/sbin/apparmor_status
apparmor: /usr/share/man/man8/apparmor_status.8.gz
Код: Выделить всё
olej@R420:~$ apt content apparmor | wc -l
212
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
AppArmor
Код: Выделить всё
olej@esprimop420:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 12 (bookworm)
Release: 12
Codename: bookworm
Код: Выделить всё
olej@esprimop420:~$ sudo apparmor_status
[sudo] пароль для olej:
apparmor module is loaded.
32 profiles are loaded.
27 profiles are in enforce mode.
/usr/bin/evince
/usr/bin/evince-previewer
/usr/bin/evince-previewer//sanitized_helper
/usr/bin/evince-thumbnailer
/usr/bin/evince//sanitized_helper
/usr/bin/man
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session
/usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session//chromium
/usr/sbin/cups-browsed
/usr/sbin/cupsd
/usr/sbin/cupsd//third_party
/usr/sbin/dhcpd
/usr/sbin/ntpd
/{,usr/}sbin/dhclient
libreoffice-senddoc
libreoffice-soffice//gpg
libreoffice-xpdfimport
lsb_release
man_filter
man_groff
nvidia_modprobe
nvidia_modprobe//kmod
system_tor
5 profiles are in complain mode.
/usr/libexec/ibus-engine-hangul
/usr/libexec/ibus-setup-hangul
/usr/libexec/ibus-setup-hangul//python_profile
libreoffice-oosplash
libreoffice-soffice
0 profiles are in kill mode.
0 profiles are in unconfined mode.
4 processes have profiles defined.
4 processes are in enforce mode.
/usr/sbin/cups-browsed (1756)
/usr/sbin/cupsd (831)
/usr/sbin/ntpd (1029)
/usr/bin/tor (2029) system_tor
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
AppArmor
Код: Выделить всё
[olej@xenix ~]$ lsb_release -a
LSB Version: :core-4.1-amd64:core-4.1-noarch
Distributor ID: Fedora
Description: Fedora release 38 (Thirty Eight)
Release: 38
Codename: ThirtyEight
Код: Выделить всё
[olej@xenix ~]$ which apparmor_status
/usr/bin/which: no apparmor_status in (/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/olej/.local/bin:/home/olej/bin)
Код: Выделить всё
[olej@xenix ~]$ dnf list apparmor
Последняя проверка окончания срока действия метаданных: 0:00:09 назад, Пт 20 окт 2023 07:07:42.
Ошибка: Совпадений среди пакетов не найдено
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
AppArmor
Чтобы включить или отключить профиль, необходимо установить apparmor-utils.
Код: Выделить всё
olej@R420:~$ sudo apt install apparmor-utils
[sudo] пароль для olej:
Чтение списков пакетов… Готово
Построение дерева зависимостей… Готово
Чтение информации о состоянии… Готово
Будут установлены следующие дополнительные пакеты:
python3-apparmor python3-libapparmor
Предлагаемые пакеты:
vim-addon-manager
Следующие НОВЫЕ пакеты будут установлены:
apparmor-utils python3-apparmor python3-libapparmor
Обновлено 0 пакетов, установлено 3 новых пакетов, для удаления отмечено 0 пакетов, и 0 пакетов не обновлено.
Необходимо скачать 170 kB архивов.
После данной операции объём занятого дискового пространства возрастёт на 1.186 kB.
Хотите продолжить? [Д/н] y
Пол:1 http://ubuntu.mirrors.omnilance.com/ubuntu jammy-updates/main amd64 python3-libapparmor amd64 3.0.4-2ubuntu2.2 [29,5 kB]
Пол:2 http://ubuntu.mirrors.omnilance.com/ubuntu jammy-updates/main amd64 python3-apparmor all 3.0.4-2ubuntu2.2 [81,1 kB]
Пол:3 http://ubuntu.mirrors.omnilance.com/ubuntu jammy-updates/main amd64 apparmor-utils all 3.0.4-2ubuntu2.2 [59,4 kB]
Получено 170 kB за 1с (123 kB/s)
Выбор ранее не выбранного пакета python3-libapparmor.
(Чтение базы данных … на данный момент установлен 582631 файл и каталог.)
Подготовка к распаковке …/python3-libapparmor_3.0.4-2ubuntu2.2_amd64.deb …
Распаковывается python3-libapparmor (3.0.4-2ubuntu2.2) …
Выбор ранее не выбранного пакета python3-apparmor.
Подготовка к распаковке …/python3-apparmor_3.0.4-2ubuntu2.2_all.deb …
Распаковывается python3-apparmor (3.0.4-2ubuntu2.2) …
Выбор ранее не выбранного пакета apparmor-utils.
Подготовка к распаковке …/apparmor-utils_3.0.4-2ubuntu2.2_all.deb …
Распаковывается apparmor-utils (3.0.4-2ubuntu2.2) …
Настраивается пакет python3-libapparmor (3.0.4-2ubuntu2.2) …
Настраивается пакет python3-apparmor (3.0.4-2ubuntu2.2) …
Настраивается пакет apparmor-utils (3.0.4-2ubuntu2.2) …
Обрабатываются триггеры для man-db (2.10.2-1) …
Код: Выделить всё
olej@R420:~$ apt content apparmor-utils
/.
/etc
/etc/apparmor
/etc/apparmor/easyprof.conf
/etc/apparmor/logprof.conf
/etc/apparmor/severity.db
/usr
/usr/bin
/usr/bin/aa-easyprof
/usr/sbin
/usr/sbin/aa-audit
/usr/sbin/aa-autodep
/usr/sbin/aa-cleanprof
/usr/sbin/aa-complain
/usr/sbin/aa-decode
/usr/sbin/aa-disable
/usr/sbin/aa-enforce
/usr/sbin/aa-genprof
/usr/sbin/aa-logprof
/usr/sbin/aa-mergeprof
/usr/sbin/aa-unconfined
/usr/sbin/aa-update-browser
/usr/share
/usr/share/apparmor
/usr/share/apparmor/easyprof
/usr/share/apparmor/easyprof/policygroups
/usr/share/apparmor/easyprof/policygroups/opt-application
/usr/share/apparmor/easyprof/policygroups/user-application
/usr/share/apparmor/easyprof/templates
/usr/share/apparmor/easyprof/templates/default
/usr/share/apparmor/easyprof/templates/sandbox
/usr/share/apparmor/easyprof/templates/sandbox-x
/usr/share/apparmor/easyprof/templates/user-application
/usr/share/doc
/usr/share/doc/apparmor-utils
/usr/share/doc/apparmor-utils/changelog.Debian.gz
/usr/share/doc/apparmor-utils/copyright
/usr/share/man
/usr/share/man/man5
/usr/share/man/man5/logprof.conf.5.gz
/usr/share/man/man8
/usr/share/man/man8/aa-audit.8.gz
/usr/share/man/man8/aa-autodep.8.gz
/usr/share/man/man8/aa-cleanprof.8.gz
/usr/share/man/man8/aa-complain.8.gz
/usr/share/man/man8/aa-decode.8.gz
/usr/share/man/man8/aa-disable.8.gz
/usr/share/man/man8/aa-easyprof.8.gz
/usr/share/man/man8/aa-enforce.8.gz
/usr/share/man/man8/aa-genprof.8.gz
/usr/share/man/man8/aa-logprof.8.gz
/usr/share/man/man8/aa-mergeprof.8.gz
/usr/share/man/man8/aa-unconfined.8.gz
/usr/share/man/man8/aa-update-browser.8.gz
/usr/share/vim
/usr/share/vim/addons
/usr/share/vim/addons/syntax
/usr/share/vim/addons/syntax/apparmor.vim
/usr/share/vim/registry
/usr/share/vim/registry/vim-apparmor.yaml
/var
/var/log
/var/log/apparmor
Код: Выделить всё
olej@R420:~$ apt content apparmor-utils | grep /bin
/usr/bin
/usr/bin/aa-easyprof
Код: Выделить всё
olej@R420:~$ apt content apparmor-utils | grep /sbin
/usr/sbin
/usr/sbin/aa-audit
/usr/sbin/aa-autodep
/usr/sbin/aa-cleanprof
/usr/sbin/aa-complain
/usr/sbin/aa-decode
/usr/sbin/aa-disable
/usr/sbin/aa-enforce
/usr/sbin/aa-genprof
/usr/sbin/aa-logprof
/usr/sbin/aa-mergeprof
/usr/sbin/aa-unconfined
/usr/sbin/aa-update-browser
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
AppArmor
Службой Tha AppArmor можно управлять так же, как и любой другой системной службой.
Код: Выделить всё
olej@R420:~$ sudo systemctl stop apparmor
[sudo] пароль для olej:
Код: Выделить всё
olej@R420:~$ sudo systemctl status apparmor
○ apparmor.service - Load AppArmor profiles
Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Fri 2023-10-20 07:26:30 EEST; 56s ago
Docs: man:apparmor(7)
https://gitlab.com/apparmor/apparmor/wikis/home/
Process: 1039 ExecStart=/lib/apparmor/apparmor.systemd reload (code=exited, status=0/SUCCESS)
Process: 10178 ExecStop=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 1039 (code=exited, status=0/SUCCESS)
CPU: 2ms
окт 20 06:09:05 R420 systemd[1]: Starting Load AppArmor profiles...
окт 20 06:09:05 R420 apparmor.systemd[1039]: Restarting AppArmor
окт 20 06:09:05 R420 apparmor.systemd[1039]: Reloading AppArmor profiles
окт 20 06:09:05 R420 apparmor.systemd[1075]: Skipping profile in /etc/apparmor.d/disable: usr.bin.firefox
окт 20 06:09:05 R420 apparmor.systemd[1087]: Skipping profile in /etc/apparmor.d/disable: usr.sbin.rsyslogd
окт 20 06:09:05 R420 systemd[1]: Finished Load AppArmor profiles.
окт 20 07:26:30 R420 systemd[1]: Stopping Load AppArmor profiles...
окт 20 07:26:30 R420 systemd[1]: apparmor.service: Deactivated successfully.
окт 20 07:26:30 R420 systemd[1]: Stopped Load AppArmor profiles.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя