AppArmor

[Olej]

Шпаргалка по AppArmor для системных администраторов Linux

AppArmor рассматривается как замена SELinux, который иногда считается сложным в настройке и обслуживании.

В отличие от SELinux, работа которого заключается в наложении меток на файлы, AppArmor работает с путями к файлам.

Сторонники AppArmor утверждают, что он менее сложен и прост в настройке, чем SELinux.

См. SELinux

[Olej]

Многие из вас наверняка слышали о AppArmor, работая с системами на базе Debian, в частности, Ubuntu.
...
Application Armor, сокращенно AppArmor, – это модуль безопасности в системах Linux.

Он представляет собой систему мандатного контроля доступа (Mandatory Access Control, MAC), используемую ядром Linux для ограничения возможностей программы в соответствии с ее профилями.

Впервые она была замечена в Immunix, а затем интегрирована в системы Novell/SUSE, Mandriva и Ubuntu.

[Olej]

работая с системами на базе Debian

Код: Выделить всё

olej@R420:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	Linuxmint
Description:	Linux Mint 21.2
Release:	21.2
Codename:	victoria

Код: Выделить всё

olej@R420:~$ sudo apparmor_status
[sudo] пароль для olej:       
apparmor module is loaded.
32 profiles are loaded.
30 profiles are in enforce mode.
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince//sanitized_helper
   /usr/bin/man
   /usr/bin/redshift
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/lightdm/lightdm-guest-session
   /usr/lib/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/haveged
   /{,usr/}sbin/dhclient
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   lsb_release
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
   system_tor
   tcpdump
   torbrowser_firefox
   torbrowser_tor
2 profiles are in complain mode.
   libreoffice-oosplash
   libreoffice-soffice
0 profiles are in kill mode.
0 profiles are in unconfined mode.
4 processes have profiles defined.
4 processes are in enforce mode.
   /usr/sbin/cups-browsed (1944) 
   /usr/sbin/cupsd (1379) 
   /usr/sbin/haveged (1098) 
   /usr/bin/tor (1483) system_tor
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.

Код: Выделить всё

olej@R420:~$ apt contains apparmor_status
apparmor: /usr/sbin/apparmor_status
apparmor: /usr/share/man/man8/apparmor_status.8.gz

Код: Выделить всё

olej@R420:~$ apt content apparmor | wc -l
212

Ого! ... наворотили ...

[Olej]

Код: Выделить всё

olej@esprimop420:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	Debian
Description:	Debian GNU/Linux 12 (bookworm)
Release:	12
Codename:	bookworm

Код: Выделить всё

olej@esprimop420:~$ sudo apparmor_status
[sudo] пароль для olej: 
apparmor module is loaded.
32 profiles are loaded.
27 profiles are in enforce mode.
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince//sanitized_helper
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session
   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/dhcpd
   /usr/sbin/ntpd
   /{,usr/}sbin/dhclient
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   lsb_release
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
   system_tor
5 profiles are in complain mode.
   /usr/libexec/ibus-engine-hangul
   /usr/libexec/ibus-setup-hangul
   /usr/libexec/ibus-setup-hangul//python_profile
   libreoffice-oosplash
   libreoffice-soffice
0 profiles are in kill mode.
0 profiles are in unconfined mode.
4 processes have profiles defined.
4 processes are in enforce mode.
   /usr/sbin/cups-browsed (1756) 
   /usr/sbin/cupsd (831) 
   /usr/sbin/ntpd (1029) 
   /usr/bin/tor (2029) system_tor
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.

[Olej]

Код: Выделить всё

[olej@xenix ~]$ lsb_release -a
LSB Version:	:core-4.1-amd64:core-4.1-noarch
Distributor ID:	Fedora
Description:	Fedora release 38 (Thirty Eight)
Release:	38
Codename:	ThirtyEight

Код: Выделить всё

[olej@xenix ~]$ which apparmor_status
/usr/bin/which: no apparmor_status in (/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/olej/.local/bin:/home/olej/bin)

Код: Выделить всё

[olej@xenix ~]$ dnf list apparmor
Последняя проверка окончания срока действия метаданных: 0:00:09 назад, Пт 20 окт 2023 07:07:42.
Ошибка: Совпадений среди пакетов не найдено

[Olej]

Чтобы включить или отключить профиль, необходимо установить apparmor-utils.

Код: Выделить всё

olej@R420:~$ sudo apt install apparmor-utils
[sudo] пароль для olej:       
Чтение списков пакетов… Готово
Построение дерева зависимостей… Готово
Чтение информации о состоянии… Готово         
Будут установлены следующие дополнительные пакеты:
  python3-apparmor python3-libapparmor
Предлагаемые пакеты:
  vim-addon-manager
Следующие НОВЫЕ пакеты будут установлены:
  apparmor-utils python3-apparmor python3-libapparmor
Обновлено 0 пакетов, установлено 3 новых пакетов, для удаления отмечено 0 пакетов, и 0 пакетов не обновлено.
Необходимо скачать 170 kB архивов.
После данной операции объём занятого дискового пространства возрастёт на 1.186 kB.
Хотите продолжить? [Д/н] y
Пол:1 http://ubuntu.mirrors.omnilance.com/ubuntu jammy-updates/main amd64 python3-libapparmor amd64 3.0.4-2ubuntu2.2 [29,5 kB]
Пол:2 http://ubuntu.mirrors.omnilance.com/ubuntu jammy-updates/main amd64 python3-apparmor all 3.0.4-2ubuntu2.2 [81,1 kB]
Пол:3 http://ubuntu.mirrors.omnilance.com/ubuntu jammy-updates/main amd64 apparmor-utils all 3.0.4-2ubuntu2.2 [59,4 kB]
Получено 170 kB за 1с (123 kB/s)          
Выбор ранее не выбранного пакета python3-libapparmor.
(Чтение базы данных … на данный момент установлен 582631 файл и каталог.)
Подготовка к распаковке …/python3-libapparmor_3.0.4-2ubuntu2.2_amd64.deb …
Распаковывается python3-libapparmor (3.0.4-2ubuntu2.2) …
Выбор ранее не выбранного пакета python3-apparmor.
Подготовка к распаковке …/python3-apparmor_3.0.4-2ubuntu2.2_all.deb …
Распаковывается python3-apparmor (3.0.4-2ubuntu2.2) …
Выбор ранее не выбранного пакета apparmor-utils.
Подготовка к распаковке …/apparmor-utils_3.0.4-2ubuntu2.2_all.deb …
Распаковывается apparmor-utils (3.0.4-2ubuntu2.2) …
Настраивается пакет python3-libapparmor (3.0.4-2ubuntu2.2) …
Настраивается пакет python3-apparmor (3.0.4-2ubuntu2.2) …
Настраивается пакет apparmor-utils (3.0.4-2ubuntu2.2) …
Обрабатываются триггеры для man-db (2.10.2-1) …

Код: Выделить всё

olej@R420:~$ apt content apparmor-utils
/.
/etc
/etc/apparmor
/etc/apparmor/easyprof.conf
/etc/apparmor/logprof.conf
/etc/apparmor/severity.db
/usr
/usr/bin
/usr/bin/aa-easyprof
/usr/sbin
/usr/sbin/aa-audit
/usr/sbin/aa-autodep
/usr/sbin/aa-cleanprof
/usr/sbin/aa-complain
/usr/sbin/aa-decode
/usr/sbin/aa-disable
/usr/sbin/aa-enforce
/usr/sbin/aa-genprof
/usr/sbin/aa-logprof
/usr/sbin/aa-mergeprof
/usr/sbin/aa-unconfined
/usr/sbin/aa-update-browser
/usr/share
/usr/share/apparmor
/usr/share/apparmor/easyprof
/usr/share/apparmor/easyprof/policygroups
/usr/share/apparmor/easyprof/policygroups/opt-application
/usr/share/apparmor/easyprof/policygroups/user-application
/usr/share/apparmor/easyprof/templates
/usr/share/apparmor/easyprof/templates/default
/usr/share/apparmor/easyprof/templates/sandbox
/usr/share/apparmor/easyprof/templates/sandbox-x
/usr/share/apparmor/easyprof/templates/user-application
/usr/share/doc
/usr/share/doc/apparmor-utils
/usr/share/doc/apparmor-utils/changelog.Debian.gz
/usr/share/doc/apparmor-utils/copyright
/usr/share/man
/usr/share/man/man5
/usr/share/man/man5/logprof.conf.5.gz
/usr/share/man/man8
/usr/share/man/man8/aa-audit.8.gz
/usr/share/man/man8/aa-autodep.8.gz
/usr/share/man/man8/aa-cleanprof.8.gz
/usr/share/man/man8/aa-complain.8.gz
/usr/share/man/man8/aa-decode.8.gz
/usr/share/man/man8/aa-disable.8.gz
/usr/share/man/man8/aa-easyprof.8.gz
/usr/share/man/man8/aa-enforce.8.gz
/usr/share/man/man8/aa-genprof.8.gz
/usr/share/man/man8/aa-logprof.8.gz
/usr/share/man/man8/aa-mergeprof.8.gz
/usr/share/man/man8/aa-unconfined.8.gz
/usr/share/man/man8/aa-update-browser.8.gz
/usr/share/vim
/usr/share/vim/addons
/usr/share/vim/addons/syntax
/usr/share/vim/addons/syntax/apparmor.vim
/usr/share/vim/registry
/usr/share/vim/registry/vim-apparmor.yaml
/var
/var/log
/var/log/apparmor

Код: Выделить всё

olej@R420:~$ apt content apparmor-utils | grep /bin
/usr/bin
/usr/bin/aa-easyprof

Код: Выделить всё

olej@R420:~$ apt content apparmor-utils | grep /sbin
/usr/sbin
/usr/sbin/aa-audit
/usr/sbin/aa-autodep
/usr/sbin/aa-cleanprof
/usr/sbin/aa-complain
/usr/sbin/aa-decode
/usr/sbin/aa-disable
/usr/sbin/aa-enforce
/usr/sbin/aa-genprof
/usr/sbin/aa-logprof
/usr/sbin/aa-mergeprof
/usr/sbin/aa-unconfined
/usr/sbin/aa-update-browser

[Olej]

Службой Tha AppArmor можно управлять так же, как и любой другой системной службой.

Код: Выделить всё

olej@R420:~$ sudo systemctl stop apparmor
[sudo] пароль для olej:

Вот так оно спокойнее

Код: Выделить всё

olej@R420:~$ sudo systemctl status apparmor
○ apparmor.service - Load AppArmor profiles
     Loaded: loaded (/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
     Active: inactive (dead) since Fri 2023-10-20 07:26:30 EEST; 56s ago
       Docs: man:apparmor(7)
             https://gitlab.com/apparmor/apparmor/wikis/home/
    Process: 1039 ExecStart=/lib/apparmor/apparmor.systemd reload (code=exited, status=0/SUCCESS)
    Process: 10178 ExecStop=/bin/true (code=exited, status=0/SUCCESS)
   Main PID: 1039 (code=exited, status=0/SUCCESS)
        CPU: 2ms

окт 20 06:09:05 R420 systemd[1]: Starting Load AppArmor profiles...
окт 20 06:09:05 R420 apparmor.systemd[1039]: Restarting AppArmor
окт 20 06:09:05 R420 apparmor.systemd[1039]: Reloading AppArmor profiles
окт 20 06:09:05 R420 apparmor.systemd[1075]: Skipping profile in /etc/apparmor.d/disable: usr.bin.firefox
окт 20 06:09:05 R420 apparmor.systemd[1087]: Skipping profile in /etc/apparmor.d/disable: usr.sbin.rsyslogd
окт 20 06:09:05 R420 systemd[1]: Finished Load AppArmor profiles.
окт 20 07:26:30 R420 systemd[1]: Stopping Load AppArmor profiles...
окт 20 07:26:30 R420 systemd[1]: apparmor.service: Deactivated successfully.
окт 20 07:26:30 R420 systemd[1]: Stopped Load AppArmor profiles.