Waar is AppArmor voor en hoe verbetert het de beveiliging in Linux

Diego Germán González

4 minuten

Waar is AppArmor voor?

Lange tijd waren Linux-gebruikers de protagonisten van het verhaal van de drie biggetjes. Een vals gevoel deed ons geloven dat we veilig waren voor de beveiligingsproblemen waarvan Windows vaak het slachtoffer was.

De realiteit liet ons zien dat we niet zo onkwetsbaar waren als we dachten. Hoewel, om eerlijk te zijn, de meeste gemelde kwetsbaarheden werden ontdekt in computerbeveiligingslaboratoria en de voorwaarden die nodig zijn om hiervan te profiteren nauwelijks bestaan ​​in de echte wereld, zijn er nog steeds genoeg problemen zodat we onze waakzaamheid niet laten verslappen.

Beveiligingsmaatregelen voor de Linux-kernel

De algemene consensus onder IT-beveiligingsspecialisten is dat maatregelen om ongeoorloofde toegang tot het systeem te voorkomen, zoals firewalls of inbraakdetectiemechanismen, niet langer voldoende zijn om steeds geavanceerdere aanvallen te stoppen. Het is noodzakelijk om een ​​nieuwe verdedigingslinie op te zetten die, in het geval van ongeoorloofde toegang tot het systeem, de indringer niet toestaat iets schadelijks te doen.

Het principe van de minste privileges

Het principe van de minste privileges stelt als fundamentele veiligheidsregel vast dat: gebruikers van een computersysteem mogen alleen de minimale set privileges en middelen krijgen die nodig zijn om hun specifieke functie uit te voeren. Op deze manier wordt oneigenlijk of nalatig gebruik van een applicatie verminderd of voorkomen dat het de toegangsvector van een computeraanval wordt.

Lange tijd hebben linuxers ons vertrouwen in de beveiliging van ons besturingssysteem gebouwd op een kernelmechanisme dat bekend staat als Discretionary Access Control. Discretionaire toegangscontrole bepaalt tot welke systeembronnen gebruikers en applicaties toegang hebben.

Het probleem is dat uw scala aan opties zeer beperkt is en dat, zoals het woord discretionair aangeeft, sommige gebruikers met voldoende machtigingen wijzigingen kunnen aanbrengen die door cybercriminelen kunnen worden uitgebuit.

Verplichte toegangscontrole

Verplichte toegangscontrole verschilt daarin van discretionaire toegangscontrole: het besturingssysteem beperkt wat de toepassingen kunnen doen volgens de instructies die zijn opgesteld door de systeembeheerder en dat de rest van de gebruikers niet kunnen wijzigen.

In de Linux-kernel is dit de verantwoordelijkheid van de Linux Security Subsystem Module die verschillende procedures biedt die kunnen worden aangeroepen vanuit tools zoals degene die in dit artikel wordt genoemd.

Waar is AppArmor voor?

AppArmor gebruikt het Mandatory Access Control-paradigma om de beveiliging van Linux-distributies te verbeteren. Het vertrouwt op de Linux Security Subsystem Module om het gedrag van individuele applicaties te beperken volgens het beleid dat door de beheerder is ingesteld.

Deze richtlijnen worden uitgedrukt in de vorm van platte tekstbestanden die profielen worden genoemd. Dankzij profielen kan de systeembeheerder de toegang tot bestanden beperken, interacties tussen processen conditioneren, vaststellen in welke gevallen een bestandssysteem kan worden gemount, netwerktoegang beperken, de capaciteit van een applicatie bepalen en hoeveel resources u kunt gebruiken. Met andere woorden, een AppArmor-profiel bevat een witte lijst met acceptabel gedrag voor elke toepassing.

De voordelen van deze aanpak zijn:

  • Hiermee kunnen beheerders het principe van de minste bevoegdheden toepassen op applicaties. In het geval dat een toepassing wordt gecompromitteerd, zal deze geen toegang hebben tot de bestanden of acties uitvoeren buiten wat is vastgesteld als een normale bedrijfsparameter.
  • De profielen zijn geschreven in een beheerdersvriendelijke taal en opgeslagen op locaties die gemakkelijk toegankelijk zijn.
  • De toepassing van individuele profielen kan worden in- of uitgeschakeld, ongeacht wat er met de rest van de profielen gebeurt. Hierdoor kunnen beheerders een specifiek profiel voor een specifieke toepassing uitschakelen en debuggen zonder de werking van de rest van het systeem te beïnvloeden.
  • In het geval dat een toepassing een actie probeert uit te voeren die in strijd is met wat is ingesteld in het bijbehorende profiel, wordt de gebeurtenis geregistreerd. Zo krijgen beheerders een vroegtijdige waarschuwing.

AppArmor is geen vervanging voor discretionaire toegangscontroleMet andere woorden, u kunt niet iets autoriseren dat verboden is, maar u kunt iets verbieden dat is toegestaan.

AppArrmour wordt geleverd met een aantal tools die vooraf zijn geïnstalleerd op de belangrijkste Linux-distributies, en u kunt meer vinden in de repositories.

U kunt meer informatie vinden op de pagina van het project


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Spook zei
    geleden Tot 3 jaar

    Is AppArmor geen pantser …….????????????????

    Reageer op Fantasmon
    1.    Diego Duitse Gonzalez zei
      geleden Tot 3 jaar

      Zeker. Zodra ik kan, corrigeer ik het
      Bedankt

      Reageer op Diego Germán González