Пользователи Linux долгое время были героями сказки о трех поросятах. Ложное предчувствие заставило нас поверить в то, что мы защищены от проблем безопасности, частыми жертвами которых была Windows.
Реальность показала нам, что мы не так неуязвимы, как думали. Хотя, честно говоря, большинство обнаруженных уязвимостей было обнаружено в лабораториях компьютерной безопасности, и условия, необходимые для их использования, вряд ли существуют в реальном мире, проблем все еще достаточно, чтобы мы не снижали нашу бдительность.
Меры безопасности ядра Linux
По общему мнению специалистов по ИТ-безопасности, мер по предотвращению несанкционированного проникновения в систему, таких как брандмауэры или механизмы обнаружения вторжений, уже недостаточно, чтобы остановить все более изощренные атаки. Необходимо установить новую линию защиты, которая в случае несанкционированного проникновения в систему не позволит злоумышленнику сделать что-либо вредное.
Принцип наименьших привилегий
Принцип наименьших привилегий устанавливает в качестве фундаментального правила безопасности, что пользователи компьютерной системы должны получать только минимальный набор привилегий и ресурсов, которые необходимы им для выполнения своей конкретной функции.. Таким образом, ненадлежащее или небрежное использование приложения сокращается или предотвращается от того, чтобы стать вектором входа компьютерной атаки.
В течение долгого времени разработчики Linux строили нашу уверенность в безопасности нашей операционной системы на механизме ядра, известном как Discretionary Access Control. Дискреционный контроль доступа определяет, к каким системным ресурсам пользователи и приложения могут получить доступ.
Проблема в том, что ваш диапазон вариантов очень ограничен и что, как указывает слово «дискреционный», некоторые пользователи с достаточными разрешениями могут вносить изменения, которые могут быть использованы киберпреступниками.
Обязательный контроль доступа
Обязательный контроль доступа отличается от дискреционного контроля доступа тем, что операционная система ограничивает то, что приложения могут делать в соответствии с инструкциями, установленными системным администратором, и которые остальные пользователи не могут изменять.
В ядре Linux за это отвечает модуль подсистемы безопасности Linux, который предлагает различные процедуры, которые можно вызывать из инструментов, подобных упомянутому в этой статье.
Для чего нужен AppArmor?
AppArmor использует парадигму обязательного контроля доступа для повышения безопасности дистрибутивов Linux. Он полагается на модуль подсистемы безопасности Linux для ограничения поведения отдельных приложений в соответствии с политиками, установленными администратором.
Эти директивы представлены в виде текстовых файлов, известных как профили. Благодаря профилям системный администратор может ограничить доступ к файлам, обусловить взаимодействие между процессами, установить, в каких случаях можно смонтировать файловую систему, ограничить доступ к сети, определить емкость приложения и количество ресурсов, которые вы можете использовать. Другими словами, профиль AppArmor содержит белый список допустимого поведения для каждого приложения.
Преимущества такого подхода:
- Это позволяет администраторам применять к приложениям принцип наименьших привилегий. В случае взлома приложения оно не сможет получить доступ к файлам или выполнить действия, выходящие за рамки того, что установлено в качестве нормального рабочего параметра.
- Профили написаны на понятном для администратора языке и хранятся в местах, к которым вы можете легко получить доступ.
- Применение отдельных профилей можно включить или отключить независимо от того, что происходит с остальными профилями. Это позволяет администраторам отключать и отлаживать определенный профиль для конкретного приложения, не влияя на работу остальной системы.
- В случае, если приложение пытается выполнить какое-либо действие, противоречащее тому, что установлено в соответствующем профиле, событие регистрируется. Таким образом администраторы получают раннее предупреждение.
AppArmor не заменяет дискреционный контроль доступа, то есть вы не можете разрешить то, что запрещено, но вы можете запретить то, что разрешено.
AppArrmour поставляется с некоторыми инструментами, предустановленными в основных дистрибутивах Linux, и вы можете найти больше в репозиториях.
Вы можете найти более подробную информацию на страница проект
AppArmor — это не броня …….???????????????
Определенный. Как только я смогу исправить это
Graciad