Σε τι χρησιμεύει το AppArmor και πώς βελτιώνει την ασφάλεια στο Linux

Diego Germán González

4 λεπτά

Σε τι χρησιμεύει το AppArmor

Για πολύ καιρό, οι χρήστες του Linux ήταν σαν τους πρωταγωνιστές της ιστορίας των τριών μικρών γουρουνιών. Ένα ψευδές συναίσθημα μας οδήγησε να πιστέψουμε ότι ήμασταν ασφαλείς από τα προβλήματα ασφαλείας των οποίων τα Windows ήταν συχνά θύματα.

Η πραγματικότητα μας έδειξε ότι δεν ήμασταν τόσο άτρωτοι όσο νομίζαμε. Αν και, για να είμαστε δίκαιοι, τα περισσότερα από τα αναφερόμενα ευπάθειες εντοπίστηκαν σε εργαστήρια ασφάλειας υπολογιστών και, οι συνθήκες που είναι απαραίτητες για να τα εκμεταλλευτούμε δεν υπάρχουν σχεδόν στον πραγματικό κόσμο, υπάρχουν ακόμα αρκετά προβλήματα ώστε να μην μειώσουμε την προστασία μας.

Μέτρα ασφαλείας πυρήνα Linux

Η γενική συναίνεση μεταξύ των ειδικών ασφάλειας πληροφορικής είναι ότι τα μέτρα για την πρόληψη της μη εξουσιοδοτημένης εισόδου στο σύστημα, όπως τείχη προστασίας ή μηχανισμοί ανίχνευσης εισβολών, δεν επαρκούν πλέον για να σταματήσουν ολοένα και πιο εξελιγμένες επιθέσεις. Είναι απαραίτητο να δημιουργηθεί μια νέα γραμμή άμυνας, η οποία, σε περίπτωση μη εξουσιοδοτημένης εισόδου στο σύστημα, δεν επιτρέπει στον εισβολέα να κάνει κάτι επιβλαβές.

Η αρχή των ελάχιστων προνομίων

Η αρχή των ελάχιστων προνομίων καθιερώνει ως θεμελιώδη κανόνα ασφάλειας ότι Οι χρήστες ενός συστήματος υπολογιστή θα πρέπει να λαμβάνουν μόνο το ελάχιστο σύνολο προνομίων και πόρων που είναι απαραίτητες για την εκτέλεση της συγκεκριμένης λειτουργίας τουςΤο Με αυτόν τον τρόπο, η ακατάλληλη ή αμέλεια χρήση μιας εφαρμογής μειώνεται ή αποτρέπεται από το να είναι το διάνυσμα εισόδου μιας επίθεσης υπολογιστή.

Για μεγάλο χρονικό διάστημα, τα Linux έχουν χτίσει την εμπιστοσύνη μας στην ασφάλεια του λειτουργικού μας συστήματος σε έναν μηχανισμό πυρήνα που είναι γνωστός ως Διακριτικός έλεγχος πρόσβασης. Ο διακριτικός έλεγχος πρόσβασης καθορίζει σε ποιους πόρους συστήματος μπορούν να έχουν πρόσβαση οι χρήστες και οι εφαρμογές.

Το πρόβλημα είναι ότι το εύρος των επιλογών σας είναι πολύ περιορισμένο και ότι, όπως δείχνει η διακριτική λέξη, ορισμένοι χρήστες με επαρκή δικαιώματα μπορούν να κάνουν τροποποιήσεις που θα μπορούσαν να αξιοποιηθούν από εγκληματίες στον κυβερνοχώρο.

Υποχρεωτικός έλεγχος πρόσβασης

Ο υποχρεωτικός έλεγχος πρόσβασης διαφέρει από τον διακριτικό έλεγχο πρόσβασης σε αυτό το λειτουργικό σύστημα περιορίζει το τι μπορούν να κάνουν οι εφαρμογές σύμφωνα με τις οδηγίες που έχει ορίσει ο διαχειριστής του συστήματος και ότι οι υπόλοιποι χρήστες δεν μπορούν να τροποποιήσουν.

Στον πυρήνα Linux, αυτή είναι η ευθύνη της λειτουργικής μονάδας υποσυστήματος ασφάλειας Linux που προσφέρει διαφορετικές διαδικασίες που μπορούν να επικαλεστούν από εργαλεία όπως αυτό που αναφέρεται σε αυτό το άρθρο.

Σε τι χρησιμεύει το AppArmor;

Το AppArmor χρησιμοποιεί το πρότυπο Mandatory Access Control για να ενισχύσει την ασφάλεια των διανομών Linux. Βασίζεται στη λειτουργική μονάδα υποσυστήματος ασφαλείας Linux για να περιορίσει τη συμπεριφορά μεμονωμένων εφαρμογών σύμφωνα με τις πολιτικές που έχει ορίσει ο διαχειριστής.

Αυτές οι οδηγίες εκφράζονται με τη μορφή απλών αρχείων κειμένου γνωστών ως προφίλ. Χάρη στα προφίλ, ο διαχειριστής συστήματος μπορεί να περιορίσει την πρόσβαση σε αρχεία, να καθορίσει τις αλληλεπιδράσεις μεταξύ διαδικασιών, να καθορίσει σε ποιες περιπτώσεις μπορεί να εγκατασταθεί ένα σύστημα αρχείων, να περιορίσει την πρόσβαση στο δίκτυο, να καθορίσει τη χωρητικότητα μιας εφαρμογής και πόσους πόρους μπορείτε να χρησιμοποιήσετε. Με άλλα λόγια, ένα προφίλ AppArmor περιέχει μια λίστα επιτρεπόμενων συμπεριφορών για κάθε εφαρμογή.

Τα πλεονεκτήματα αυτής της προσέγγισης είναι:

  • Επιτρέπει στους διαχειριστές να εφαρμόζουν την αρχή του ελάχιστου προνομίου στις εφαρμογές. Σε περίπτωση παραβίασης μιας εφαρμογής, δεν θα μπορεί να έχει πρόσβαση στα αρχεία ή να εκτελεί ενέργειες εκτός από αυτό που έχει οριστεί ως κανονική παράμετρος λειτουργίας.
  • Τα προφίλ είναι γραμμένα σε γλώσσα φιλική προς τον διαχειριστή και αποθηκεύονται σε τοποθεσίες στις οποίες μπορείτε να έχετε εύκολη πρόσβαση.
  • Η εφαρμογή μεμονωμένων προφίλ μπορεί να ενεργοποιηθεί ή να απενεργοποιηθεί ανεξάρτητα από το τι συμβαίνει στα υπόλοιπα προφίλ. Αυτό επιτρέπει στους διαχειριστές να απενεργοποιούν και να εντοπίζουν σφάλματα σε ένα συγκεκριμένο προφίλ για μια συγκεκριμένη εφαρμογή χωρίς να επηρεάζουν τη λειτουργία του υπόλοιπου συστήματος.
  • Σε περίπτωση που μια εφαρμογή προσπαθήσει να εκτελέσει οποιαδήποτε ενέργεια που έρχεται σε αντίθεση με αυτό που καθορίζεται στο αντίστοιχο προφίλ, το συμβάν καταγράφεται. Με αυτόν τον τρόπο οι διαχειριστές λαμβάνουν έγκαιρη προειδοποίηση.

Το AppArmor δεν αντικαθιστά τον διακριτικό έλεγχο πρόσβασηςΜε άλλα λόγια, δεν μπορείτε να επιτρέψετε κάτι που απαγορεύεται, αλλά μπορείτε να απαγορεύσετε κάτι που επιτρέπεται.

Το AppArrmour έρχεται με ορισμένα εργαλεία προεγκατεστημένα στις μεγάλες διανομές Linux και μπορείτε να βρείτε περισσότερα στα αποθετήρια.

Μπορείτε να βρείτε περισσότερες πληροφορίες στη διεύθυνση η σελίδα του σχεδίου


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: AB Internet Networks 2008 SL
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   Φανταμόν dijo
    πριν 3 χρόνια

    Το AppArmor δεν είναι πανοπλία…….;;;;;;;;;;;;

    Απάντηση στο Fantasmon
    1.    Ντιέγκο Γερμανός Γκονζάλες dijo
      πριν 3 χρόνια

      Βέβαιος. Μόλις μπορέσω το διορθώνω
      Σας ευχαριστώ

      Απάντηση στον Diego Germán González