Ilgą laiką „Linux“ vartotojai buvo tarsi trijų mažų kiaulių pasakos herojai. Klaidingas jausmas privertė mus manyti, kad esame apsaugoti nuo saugumo problemų, dėl kurių dažnai nukentėjo „Windows“.
Realybė mums parodė, kad nesame tokie nepažeidžiami, kaip manėme. Nors, teisybės dėlei, dauguma pranešimų apie pažeidžiamumą buvo aptikta kompiuterių saugumo laboratorijose ir, norint jomis pasinaudoti, realiame pasaulyje beveik nėra sąlygų, vis tiek yra pakankamai problemų, kad nesumažintume savo apsaugos.
„Linux“ branduolio saugumo priemonės
Bendras IT saugumo specialistų sutarimas yra tas, kad priemonių, skirtų užkirsti kelią neteisėtam patekimui į sistemą, pvz., Ugniasienėms ar įsilaužimo aptikimo mechanizmams, nebepakanka vis sudėtingesnėms atakoms sustabdyti. Būtina sukurti naują gynybos liniją, kuri, neteisėtai patekus į sistemą, neleistų užpuolikui daryti nieko kenksmingo.
Mažiausių privilegijų principas
Mažiausių privilegijų principas kaip pagrindinę saugumo taisyklę nustato, kad kompiuterinės sistemos vartotojai turėtų gauti tik minimalų privilegijų ir išteklių rinkinį, būtiną jiems atlikti konkrečią funkciją. Tokiu būdu netinkamas ar aplaidus programos naudojimas sumažinamas arba užkertamas kelias tapti kompiuterio atakos patekimo vektoriumi.
Ilgą laiką „Linux“ kūrėjai pasitikėjo mūsų operacinės sistemos saugumu, remdamiesi branduolio mechanizmu, žinomu kaip diskrecinė prieigos kontrolė. Pasirenkama prieigos kontrolė nustato, kuriuos sistemos išteklius gali pasiekti vartotojai ir programos.
Problema ta, kad jūsų pasirinkimų spektras yra labai ribotas ir kad, kaip rodo žodis diskrecinis, kai kurie vartotojai, turintys pakankamai leidimų, gali atlikti pakeitimus, kuriais galėtų pasinaudoti elektroniniai nusikaltėliai.
Privaloma prieigos kontrolė
Privaloma prieigos kontrolė skiriasi nuo diskrecinės prieigos kontrolės tuo operacinė sistema riboja tai, ką programos gali atlikti pagal sistemos administratoriaus nustatytas instrukcijas ir kurių kiti vartotojai negali pakeisti.
„Linux“ branduolyje už tai atsakingas „Linux“ saugumo posistemio modulis, siūlantis įvairias procedūras, kurias galima panaudoti naudojant tokias priemones, kaip nurodyta šiame straipsnyje.
Kam skirtas „AppArmor“?
„AppArmor“ naudoja privalomos prieigos kontrolės paradigmą, kad padidintų „Linux“ platinimo saugumą. Jis remiasi „Linux“ saugumo posistemio moduliu, kad apribotų atskirų programų veikimą pagal administratoriaus nustatytą politiką.
Šios direktyvos yra išreikštos paprasto teksto rinkmenomis, žinomomis kaip profiliai. Dėl profilių sistemos administratorius gali apriboti prieigą prie failų, sąlygoti procesų sąveiką, nustatyti, kokiais atvejais galima prijungti failų sistemą, apriboti prieigą prie tinklo, nustatyti programos pajėgumus ir kiek išteklių galite naudoti. Kitaip tariant, „AppArmor“ profilyje yra kiekvienos programos priimtino elgesio baltasis sąrašas.
Šio metodo pranašumai yra šie:
- Tai leidžia administratoriams programose taikyti mažiausios privilegijos principą. Tuo atveju, jei programa yra pažeista, ji negalės pasiekti failų ar atlikti veiksmų, neatitinkančių įprasto veikimo parametro.
- Profiliai yra parašyti administratoriui priimtina kalba ir saugomi vietose, kurias galite lengvai pasiekti.
- Atskirų profilių taikymas gali būti įjungtas arba išjungtas, neatsižvelgiant į tai, kas atsitiks su likusiais profiliais. Tai leidžia administratoriams išjungti ir derinti konkrečios programos konkretų profilį, nepaveikiant likusios sistemos veikimo.
- Jei programa bando atlikti bet kokį veiksmą, kuris prieštarauja tam, kas nustatyta atitinkamame profilyje, įvykis registruojamas. Tokiu būdu administratoriai gauna išankstinį įspėjimą.
„AppArmor“ nepakeičia diskrecinės prieigos kontrolėsKitaip tariant, jūs negalite įgalioti to, kas draudžiama, bet jūs galite uždrausti tai, kas leidžiama.
„AppArrmour“ yra keletas įrankių, iš anksto įdiegtų pagrindiniuose „Linux“ platinimuose, o daugiau rasite saugyklose.
Daugiau informacijos galite rasti puslapis projekto
Ar AppArmor ne šarvai …….???????????????
Tam tikras. Kai tik galiu pataisyti
Ačiū