Ilgu laiku Linux lietotāji bija kā stāsta par trim mazajiem cūkām varoņi. Nepareiza sajūta lika mums uzskatīt, ka esam pasargāti no drošības problēmām, kuru upuri bieži bija Windows.
Realitāte mums parādīja, ka neesam tik neaizsargāti, kā domājām. Lai gan, godīgi sakot, lielākā daļa ziņoto ievainojamību tika atklātas datoru drošības laboratorijās, un, lai tās izmantotu, reālajā pasaulē nav vajadzīgo apstākļu, problēmu joprojām ir pietiekami, lai mēs nepazeminātu apsardzi.
Linux kodola drošības pasākumi
Vispārējā vienprātība IT drošības speciālistu vidū ir tāda, ka pasākumi, lai novērstu neatļautu iekļūšanu sistēmā, piemēram, ugunsmūri vai ielaušanās atklāšanas mehānismi, vairs nav pietiekami, lai apturētu arvien sarežģītākus uzbrukumus. Nepieciešams izveidot jaunu aizsardzības līniju, kas neatļautas iekļūšanas gadījumā sistēmā neļauj iebrucējam darīt neko kaitīgu.
Mazāko privilēģiju princips
Mazāko privilēģiju princips nosaka drošības pamatnoteikumu, ka datorsistēmas lietotājiem vajadzētu saņemt tikai minimālo privilēģiju un resursu kopumu, kas nepieciešams viņu īpašās funkcijas veikšanai. Tādā veidā lietojumprogrammas nepareiza vai nolaidīga izmantošana tiek samazināta vai tiek novērsta, ka tā kļūst par datora uzbrukuma ieejas vektoru.
Ilgu laiku linuxeri mūsu pārliecību par mūsu operētājsistēmas drošību veidoja uz kodola mehānisma, kas pazīstams kā diskrēta piekļuves kontrole. Piekļuves kontrole pēc izvēles nosaka, kuriem sistēmas resursiem lietotāji un lietojumprogrammas var piekļūt.
Problēma ir tā, ka jūsu iespēju klāsts ir ļoti ierobežots un ka, kā norāda vārds pēc izvēles, daži lietotāji ar pietiekamām atļaujām var veikt izmaiņas, kuras varētu izmantot kibernoziedznieki.
Obligāta piekļuves kontrole
Obligātā piekļuves kontrole atšķiras no diskrecionālas piekļuves kontroles ar to operētājsistēma ierobežo to, ko lietojumprogrammas var darīt saskaņā ar sistēmas administratora norādījumiem un ko pārējie lietotāji nevar mainīt.
Linux kodolā par to ir atbildīgs Linux drošības apakšsistēmas modulis, kas piedāvā dažādas procedūras, kuras var izmantot, izmantojot šajā rakstā minētos rīkus.
Kam paredzēts AppArmor?
Lai uzlabotu Linux izplatīšanas drošību, AppArmor izmanto obligātās piekļuves kontroles paradigmu. Tas paļaujas uz Linux drošības apakšsistēmas moduli, lai ierobežotu atsevišķu lietojumprogrammu darbību atbilstoši administratora noteiktajām politikām.
Šīs direktīvas ir izteiktas vienkārša teksta failu veidā, kas pazīstami kā profili. Pateicoties profiliem, sistēmas administrators var ierobežot piekļuvi failiem, nosacījumu mijiedarbību starp procesiem, noteikt, kādos gadījumos var uzstādīt failu sistēmu, ierobežot piekļuvi tīklam, noteikt lietojumprogrammas ietilpību un cik resursus varat izmantot. Citiem vārdiem sakot, AppArmor profilā ir iekļauts atļautās uzvedības baltais saraksts katrai lietojumprogrammai.
Šīs pieejas priekšrocības ir šādas:
- Tas ļauj administratoriem lietojumprogrammām piemērot vismazāko privilēģiju principu. Gadījumā, ja lietojumprogramma tiek apdraudēta, tā nevarēs piekļūt failiem vai veikt darbības ārpus tā, kas ir noteikts kā parasts darbības parametrs.
- Profili ir uzrakstīti administratoram draudzīgā valodā un saglabāti vietās, kurām varat viegli piekļūt.
- Atsevišķu profilu pielietošanu var iespējot vai atspējot neatkarīgi no tā, kas notiek ar pārējiem profiliem. Tas ļauj administratoriem atspējot un atkļūdot noteiktu profilu konkrētai lietojumprogrammai, neietekmējot pārējās sistēmas darbību.
- Gadījumā, ja lietojumprogramma mēģina veikt jebkuru darbību, kas ir pretrunā ar atbilstošajā profilā noteikto, notikums tiek reģistrēts. Tādā veidā administratori saņem agrīnu brīdinājumu.
AppArmor neaizstāj diskrecionālu piekļuves kontroli, tas ir, jūs nevarat atļaut kaut ko, kas ir aizliegts, bet jūs varat aizliegt kaut ko, kas ir atļauts.
AppArrmour ir iekļauti daži rīki, kas iepriekš instalēti galvenajos Linux izplatījumos, un vairāk jūs varat atrast krātuvēs.
Plašāku informāciju varat atrast vietnē lapa projekta
Vai AppArmor nav bruņas …….???????????????
Noteikti. Tiklīdz es varu to labot
Paldies