Čemu služi AppArmor i kako poboljšava sigurnost u Linuxu

Čemu služi AppArmor

Korisnici Linuxa dugo su bili poput protagonista priče o tri praščića. Lažni osjećaj naveo nas je da vjerujemo da smo zaštićeni od sigurnosnih problema čiji su Windows česte žrtve.

Realnost nam je pokazala da nismo toliko neranjivi kao što smo mislili. Iako je, iskreno rečeno, većina prijavljenih ranjivosti otkrivena u računalnim sigurnosnim laboratorijima, a uvjeti potrebni za njihovo iskorištavanje teško da postoje u stvarnom svijetu, još uvijek postoji dovoljno problema da ne spustimo gard.

Sigurnosne mjere jezgre Linuxa

Opći konsenzus među stručnjacima za IT sigurnost je da mjere za sprječavanje neovlaštenog ulaska u sistem, poput vatrozida ili mehanizama za otkrivanje upada, više nisu dovoljne za zaustavljanje sve sofisticiranijih napada. Potrebno je uspostaviti novu liniju odbrane koja, u slučaju neovlaštenog ulaska u sistem, ne dopušta osvajaču da učini bilo šta štetno.

Princip najmanjih privilegija

Načelo najmanje privilegije uspostavlja kao temeljno sigurnosno pravilo koje korisnicima računarskog sistema treba dati samo minimalni skup privilegija i resursa koji su im potrebni za obavljanje određene funkcije. Na ovaj način se nepravilno ili nesavjesno korištenje aplikacije smanjuje ili sprječava da bude ulazni vektor računarskog napada.

Linukseri su dugo vremena izgrađivali naše povjerenje u sigurnost našeg operativnog sistema na mehanizmu jezgre poznatom kao Diskreciona kontrola pristupa. Diskreciona kontrola pristupa određuje kojim resursima sistema korisnici i aplikacije mogu pristupiti.

Problem je u tome što je njegov raspon opcija vrlo ograničen i što, kako riječ diskrecija ukazuje, neki korisnici s dovoljnim dozvolama mogu izvršiti izmjene koje bi mogli iskoristiti cyber kriminalci.

Obavezna kontrola pristupa

Obavezna kontrola pristupa razlikuje se od Diskrecione kontrole pristupa po tome operativni sistem ograničava ono što aplikacije mogu da rade prema uputstvima koja je postavio administrator sistema i koje ostali korisnici ne mogu da menjaju.

U jezgru Linuxa ovo je odgovornost Modula sigurnosnog podsistema Linuxa koji nudi različite procedure koje se mogu pozvati iz alata poput onog spomenutog u ovom članku.

Čemu služi AppArmor?

AppArmor koristi paradigmu obavezne kontrole pristupa kako bi poboljšao sigurnost distribucija Linuxa. On se oslanja na Modul Linux sigurnosnog podsistema za ograničavanje ponašanja pojedinačnih aplikacija prema pravilima koja je postavio administrator.

Ove direktive su izražene u obliku običnih tekstualnih datoteka poznatih kao profili. Zahvaljujući profilima, administrator sistema može ograničiti pristup datotekama, usloviti interakciju između procesa, utvrditi u kojim slučajevima se može montirati sistem datoteka, ograničiti pristup mreži, odrediti kapacitet aplikacije i koliko resursa možete koristiti. Drugim riječima, AppArmor profil sadrži dopuštenu listu prihvatljivih ponašanja za svaku aplikaciju.

Prednosti ovog pristupa su:

  • Omogućava administratorima da primijene princip najmanje privilegije na aplikacije. U slučaju da je aplikacija ugrožena, neće moći pristupiti datotekama niti izvesti radnje izvan onoga što je utvrđeno kao normalni radni parametar.
  • Profili su napisani na jeziku koji je prilagođen administratorima i pohranjeni na lokacijama kojima možete lako pristupiti.
  • Primjena pojedinih profila može se omogućiti ili onemogućiti bez obzira na to što se dogodi s ostalim profilima. Ovo omogućava administratorima da onemoguće i otklone greške za određeni profil za određenu aplikaciju bez uticaja na rad ostatka sistema.
  • U slučaju da aplikacija pokuša izvesti bilo koju radnju koja je u sukobu s onim što je uspostavljeno u odgovarajućem profilu, događaj se bilježi. Na ovaj način administratori dobijaju rano upozorenje.

AppArmor nije zamjena za diskrecionu kontrolu pristupaDrugim riječima, ne možete odobriti nešto što je zabranjeno, ali možete zabraniti nešto što je dozvoljeno.

AppArrmour dolazi s nekim alatima koji su unaprijed instalirani na većim distribucijama Linuxa, a više možete pronaći u spremištima.

Više informacija možete pronaći na stranica projekta


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Ghost rekao je

    Zar AppArmor nije oklop …….???????????????

    1.    Diego German Gonzalez rekao je

      Izvesno. Ispravim to čim budem mogao
      Hvala ti