Шпаргалка по AppArmor для системных администраторов Linux

[Olej]

Шпаргалка по AppArmor для системных администраторов Linux

Life-Hack [Жизнь-Взлом]/ХакингOctober 18, 2023

Многие из вас наверняка слышали о AppArmor, работая с системами на базе Debian, в частности, Ubuntu.

Однако, поскольку это не приложение, отображаемое в графическом интерфейсе, некоторые пользователи могут быть с ним не знакомы.

Application Armor, сокращенно AppArmor, – это модуль безопасности в системах Linux.

Он представляет собой систему мандатного контроля доступа (Mandatory Access Control, MAC), используемую ядром Linux для ограничения возможностей программы в соответствии с ее профилями.

Это нужно прочитать ... не только тем кто хочет поиграться с дополнительной безопасеостью, но всем, потому что это может ограничивать ваши возможности в системе, в самых неожиданных местах, и с самыми невнятными сообщениями

[Olej]

Это нужно прочитать ... не только тем кто хочет поиграться с дополнительной безопасеостью, но всем, потому что это может ограничивать ваши возможности в системе, в самых неожиданных местах, и с самыми невнятными сообщениями

Вот в моей системе ... где я и не подозревал о существовании чего-то подобного:

Код: Выделить всё

olej@R420:~$ sudo apparmor_status
[sudo] пароль для olej:       
apparmor module is loaded.
32 profiles are loaded.
30 profiles are in enforce mode.
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince//sanitized_helper
   /usr/bin/man
   /usr/bin/redshift
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/lightdm/lightdm-guest-session
   /usr/lib/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/haveged
   /{,usr/}sbin/dhclient
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   lsb_release
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
   system_tor
   tcpdump
   torbrowser_firefox
   torbrowser_tor
2 profiles are in complain mode.
   libreoffice-oosplash
   libreoffice-soffice
0 profiles are in kill mode.
0 profiles are in unconfined mode.
6 processes have profiles defined.
4 processes are in enforce mode.
   /usr/sbin/cups-browsed (1930) 
   /usr/sbin/cupsd (1378) 
   /usr/sbin/haveged (1104) 
   /usr/bin/tor (1490) system_tor
2 processes are in complain mode.
   /usr/lib/libreoffice/program/oosplash (18097) libreoffice-oosplash
   /usr/lib/libreoffice/program/soffice.bin (18140) libreoffice-soffice
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.

Не слабо