Ubuntu Security dicipta semula: mengeraskan sistem anda dengan apparmor
Jun 18, 2025 am 10:33 AM
Dalam usia di mana pelanggaran data dan ancaman siber berkembang dalam kekerapan dan kecanggihan, mengamankan sistem Linux anda lebih penting daripada sebelumnya. Ubuntu, salah satu pengagihan Linux yang paling popular, dilengkapi dengan alat keselamatan yang kuat yang banyak pengguna terlepas pandang - AppArmor . Direka untuk menyediakan lapisan pertahanan yang mantap, Apparmor meningkatkan model keselamatan terbina dalam Ubuntu dengan mengurung program dengan profil kawalan akses.
Artikel ini akan membimbing anda melalui selok -belok Apparmor, menjelaskan mengapa ia adalah bahagian penting dari sistem Ubuntu yang keras, dan mengajar anda bagaimana untuk memanfaatkannya untuk melindungi persekitaran anda.
Memahami AppArmor: Apa itu dan mengapa penting
AppArmor (Permohonan Permohonan) adalah sistem Kawalan Akses Mandatori (MAC) yang menambah kawalan akses budi bicara tradisional (DAC) yang disediakan oleh kebenaran fail Linux. Walaupun DAC bergantung kepada pemilikan pengguna dan kumpulan untuk kawalan akses, Mac melangkah lebih jauh dengan menguatkuasakan peraturan yang bahkan pengguna istimewa mesti patuh.
Apparmor beroperasi dengan memuatkan profil keselamatan untuk aplikasi individu, menyatakan dengan tepat apa fail, keupayaan, dan sumber sistem yang dibenarkan untuk diakses. Pendekatan ini menghalang aplikasi yang dikompromi atau salah daripada merosakkan seluruh sistem.
Apparmor vs Selinux manakala Selinux (Linux yang dipertingkatkan keselamatan) adalah satu lagi sistem Mac yang popular pada pengagihan berasaskan Red Hat, AppArmor sering disukai dalam persekitaran Ubuntu untuk kemudahan penggunaannya , sintaks yang boleh dibaca manusia , dan pengurusan profil yang mudah . Di mana Selinux boleh menakutkan dan kompleks, Apparmor menawarkan pendekatan yang lebih mesra pengguna untuk keselamatan yang kuat.
Konsep Teras AppArmor
Sebelum menyelam cara menggunakan Apparmor, penting untuk memahami konsep terasnya:
Profil Profil adalah satu set peraturan yang menentukan apa yang boleh dilakukan oleh aplikasi dan tidak boleh dilakukan. Ini biasanya disimpan dalam direktori /etc/apparmor.d/ dan dimuatkan ke dalam kernel semasa runtime.
Mod - Menguatkuasakan : Profil dikuatkuasakan secara aktif, dan tindakan di luar peraturan yang ditetapkan disekat.
- Mengadu : Log profil melanggar pelanggaran tetapi tidak menguatkuasakannya, yang berguna untuk debugging.
Profil komponen profil menentukan kebenaran untuk:
- Akses Fail (baca, tulis, laksanakan)
- Keupayaan (misalnya, net_admin, sys_admin)
- Operasi Rangkaian
- Isyarat dan komunikasi antara proses
Bermula: Memasang dan Membolehkan AppArmor
Kebanyakan sistem Ubuntu moden datang dengan AppArmor yang telah dipasang dan didayakan secara lalai. Untuk memeriksa statusnya:
sudo apparmor_status
Perintah ini menunjukkan profil mana yang dimuatkan, yang berada dalam mod menguatkuasakan atau mengadu, dan sama ada modul AppArmor aktif.
Sekiranya AppArmor tidak dipasang:
sudo apt update sudo apt memasang apparmor apparmor-utils
Pastikan perkhidmatan diaktifkan:
sudo systemctl membolehkan apparmor sudo systemctl start apparmor
Menguruskan profil AppArmor
Melihat profil profil yang tersedia disimpan sebagai fail teks biasa di /etc/apparmor.d/. Anda boleh menyenaraikan semua profil yang ada:
ls /etc/apparmor.d/
Menukar mod untuk menukar profil ke mod mengadu:
sudo aa-complain /etc/apparmor.d/usr.sbin.apache2
Untuk menukarnya kembali ke mod penguatkuasaan:
sudo aa-gorforce /etc/apparmor.d/usr.sbin.apache2
Untuk membuang profil:
sudo apparmor_parser -r /etc/apparmor.d/
Mencipta dan menyesuaikan profil
AppArmor menyediakan beberapa alat untuk membantu anda menjana dan memperbaiki profil:
1. AA-Autodep secara automatik menjana profil asas untuk program:
sudo aa-autodep/usr/bin/your_app
2. AA-GenProf membimbing anda melalui menghasilkan profil secara interaktif dengan menjalankan aplikasi dan mempelajari kelakuannya:
sudo aa-genprof/usr/bin/your_app
3. AA-LOGPROF membantu memperbaiki profil berdasarkan pelanggaran sebenar yang direkodkan dalam log:
sudo aa-logprof
Alat ini menganalisis log (biasanya dijumpai dalam/var/log/syslog atau melalui auditd) dan mencadangkan kemas kini peraturan untuk meningkatkan profil.
Menjamin perkhidmatan kritikal dengan apparmor
Banyak perkhidmatan Ubuntu datang dengan profil Apparmor yang telah ditetapkan:
Kapal Apache Ubuntu dengan profil Apparmor untuk Apache2 yang terletak di /etc/apparmor.d/usr.sbin.apache2. Anda boleh menyesuaikannya untuk menyekat akses kepada direktori tertentu atau menafikan skrip berpotensi berisiko.
Profil MySQL MySQL memastikan bahawa ia hanya boleh mengakses fail data dan konfigurasinya sendiri. Ini mengehadkan kerosakan jika pelayan dikompromi.
Aplikasi tersuai untuk aplikasi dalaman atau pihak ketiga, profil tersuai boleh dibuat untuk mengawal secara ketat fail dan sumber sistem yang boleh diakses oleh aplikasi.
Penyelesaian Masalah dan Analisis Log
Sekiranya permohonan salah laku di bawah Apparmor, log adalah kawan terbaik anda.
Log AppArmor Periksa tindakan yang ditolak di:
Sudo Journalctl | Grep Apparmor
Atau:
sudo kucing/var/log/syslog | Grep Apparmor
Anda kemudian boleh menggunakan AA-LogProf untuk menangani dan menyelesaikan pelanggaran ini tanpa melemahkan keselamatan keseluruhan.
Contoh dunia nyata: Mengunci skrip bash
Katakan anda mempunyai skrip sandaran di /usr/local/bin/backup.sh. Inilah cara anda membuat dan menggunakan profil AppArmor:
-
Jalankan AA-Autodep:
sudo aa- nutodep /usr/local/bin/backup.sh
-
Tukar profil untuk mengadu mod dan jalankan skrip:
sudo aa-complain /etc/apparmor.d/usr.local.bin.backup.sh ./backup.sh
-
Gunakan AA-LogProf untuk menganalisis tingkah laku:
sudo aa-logprof
-
Sapukan cadangan, kemudian menguatkuasakan profil:
sudo aa-gorforce /etc/apparmor.d/usr.local.bin.backup.sh
Tahniah, skrip anda kini terkurung!
Amalan terbaik untuk pengerasan apparmor
Menguatkuasakan Profil untuk Perkhidmatan Rangkaian Sebarang perkhidmatan yang boleh diakses dari Internet harus mempunyai profil AppArmor yang dikuatkuasakan.
Semak dan audit secara berkala secara berkala menjalankan AA-Status dan periksa log untuk aktiviti yang luar biasa.
Gunakan mod pengadu untuk ujian apabila membuat atau mengubahsuai profil, gunakan mod pengadu untuk menyempurnakan keizinan tanpa melanggar fungsi.
-
Menggabungkan dengan alat keselamatan lain AppArmor adalah yang paling berkesan apabila digunakan bersama:
- Firewall (UFW/iptables)
- Gagal2ban
- Auditd
- Kebenaran pengguna yang selamat
Kesimpulan
Apparmor adalah cara yang kuat, fleksibel, dan mesra pengguna untuk meningkatkan postur keselamatan Ubuntu. Dengan mendefinisikan sempadan yang jelas untuk tingkah laku aplikasi, ia mengehadkan kerosakan yang boleh disebabkan oleh pepijat, kesilapan, atau eksploitasi. Sama ada anda menjalankan pelayan peribadi, menganjurkan laman web awam, atau membangunkan aplikasi, AppArmor adalah sekeping kritikal teka -teki keselamatan yang tidak boleh diabaikan.
Luangkan masa untuk meneroka, mengkonfigurasi, dan menyesuaikan AppArmor untuk keperluan anda - sistem anda akan berterima kasih kepada anda.
Atas ialah kandungan terperinci Ubuntu Security dicipta semula: mengeraskan sistem anda dengan apparmor. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Bagaimana cara menyelesaikan masalah DNS pada mesin Linux?
Jul 07, 2025 am 12:35 AM
Apabila menghadapi masalah DNS, mula -mula semak fail /etc/resolv.conf untuk melihat sama ada nameserver yang betul dikonfigurasi; Kedua, anda boleh menambah DNS awam secara manual seperti 8.8.8.8 untuk ujian; Kemudian gunakan arahan NSLOOKUP dan Dig untuk mengesahkan sama ada resolusi DNS adalah normal. Sekiranya alat ini tidak dipasang, anda boleh memasang pakej DNSutils atau Bind-UTILS terlebih dahulu; Kemudian periksa status perkhidmatan yang diselesaikan SystemD dan fail konfigurasi /etc/systemd/resolved.conf, dan tetapkan DNS dan fallbackDNS seperti yang diperlukan dan mulakan semula perkhidmatan; Akhirnya periksa status antara muka rangkaian dan peraturan firewall, sahkan bahawa port 53 tidak
Pasang guacamole untuk akses jauh Linux/Windows di Ubuntu
Jul 08, 2025 am 09:58 AM
Sebagai pentadbir sistem, anda mungkin mendapati diri anda (hari ini atau pada masa akan datang) bekerja di persekitaran di mana Windows dan Linux wujud bersama. Bukan rahsia lagi bahawa beberapa syarikat besar lebih suka (atau harus) menjalankan beberapa perkhidmatan pengeluaran mereka di Windows Boxes
Cara Memasang NodeJS 14/16 & NPM di Rocky Linux 8
Jul 13, 2025 am 09:09 AM
Dibina pada enjin V8 Chrome, Node.js adalah persekitaran runtime JavaScript yang didorong oleh acara terbuka yang dibuat untuk membina aplikasi berskala dan API backend. Nodejs dikenali sebagai ringan dan cekap kerana model I/O yang tidak menyekat dan
Bagaimana untuk mencari alamat IP peribadi dan awam saya di Linux?
Jul 09, 2025 am 12:37 AM
Dalam sistem Linux, 1. Gunakan arahan IPA atau HostName-I untuk melihat IP peribadi; 2. Gunakan curlifconfig.me atau curlipinfo.io/ip untuk mendapatkan ip awam; 3. Versi desktop boleh melihat IP peribadi melalui tetapan sistem, dan penyemak imbas boleh mengakses laman web tertentu untuk melihat IP awam; 4. Perintah umum boleh ditetapkan sebagai alias untuk panggilan cepat. Kaedah ini mudah dan praktikal, sesuai untuk keperluan tontonan IP dalam senario yang berbeza.
Keperluan sistem untuk memasang linux
Jul 20, 2025 am 03:49 AM
LinuxcanrunonmodesthardwareWithSpecificMinimumRequirements.a1ghzprocessor (x86orx86_64) disediakan, withadual-corecpurecommended.r Amshouldbeatleast512mbforcommand-lineuseor2gbfordesktopenvironments.diskspacerequiresaminimumof5-10gb, walaupun25gbisbetterforad
Cara Memasang MySQL 8.0 di Rocky Linux dan Almalinux
Jul 12, 2025 am 09:21 AM
Ditulis dalam C, MySQL adalah sumber terbuka, silang platform, dan salah satu sistem pengurusan pangkalan data relasi yang paling banyak digunakan (RDMS). Ini adalah bahagian penting dalam timbunan lampu dan merupakan sistem pengurusan pangkalan data yang popular dalam hosting web, analisis data,
Ubuntu 25.04 'Puffin Plucky': Lonjakan berani ke hadapan dengan Gnome 48 dan HDR Brilliance
Jul 12, 2025 am 09:28 AM
Ubuntu telah lama berdiri sebagai benteng aksesibiliti, menggilap, dan kuasa dalam ekosistem Linux. Dengan ketibaan Ubuntu 25.04, yang dinamakan "Puffin Plucky", kanonik sekali lagi menunjukkan komitmennya untuk menyampaikan
Cara Memasang MongoDB di Rocky Linux dan Almalinux
Jul 12, 2025 am 09:29 AM
MongoDB adalah pangkalan data NoSQL yang berorientasikan dokumen yang sangat berskala tinggi yang dibina untuk menguruskan trafik yang berat dan sejumlah besar data. Tidak seperti pangkalan data SQL tradisional yang menyimpan data dalam baris dan lajur dalam jadual, data struktur MongoDB dalam j
