Používatelia Linuxu boli dlho ako protagonisti príbehu o troch malých prasiatkach. Falošný pocit nás priviedol k presvedčeniu, že sme v bezpečí pred bezpečnostnými problémami, ktorých častými obeťami boli Windows.
Realita nám ukázala, že nie sme takí nezraniteľní, ako sme si mysleli. Napriek tomu, aby sme boli spravodliví, väčšina nahlásených zraniteľností bola zistená v laboratóriách počítačovej bezpečnosti a podmienky nevyhnutné na ich využitie v skutočnom svete takmer neexistujú, ale stále existuje dostatok problémov, aby sme neznížili strážcu.
Bezpečnostné opatrenia jadra Linuxu
Všeobecný konsenzus medzi odborníkmi na bezpečnosť IT je, že opatrenia na zabránenie neoprávnenému vstupu do systému, ako sú brány firewall alebo mechanizmy detekcie narušenia, už nestačia na zastavenie stále sofistikovanejších útokov. Je potrebné vytvoriť novú obrannú líniu, ktorá v prípade neoprávneného vstupu do systému nedovolí útočníkovi urobiť nič škodlivé.
Zásada najmenších privilégií
Zásada najmenších privilégií stanovuje ako základné bezpečnostné pravidlo, že Používatelia počítačového systému by mali dostať iba minimálny súbor oprávnení a zdrojov, ktoré sú potrebné na výkon ich konkrétnych funkcií. Takýmto spôsobom sa zníži alebo zabráni nesprávnemu alebo nedbanlivému použitiu aplikácie ako vstupného vektora počítačového útoku.
Linuxoví ludia si už dlho budujú dôveru v bezpečnosť nášho operačného systému na jadrovom mechanizme známom ako Diskrečné riadenie prístupu. Voliteľné riadenie prístupu určuje, k akým systémovým prostriedkom majú používatelia a aplikácie prístup.
Problém je v tom, že váš rozsah možností je veľmi obmedzený a že, ako naznačuje slovo diskrečného, niektorí používatelia s dostatočnými povoleniami môžu vykonávať úpravy, ktoré by mohli zneužiť počítačoví zločinci.
Povinné riadenie prístupu
Povinné riadenie prístupu sa líši od dobrovoľného riadenia prístupu v tom operačný systém obmedzuje, čo môžu aplikácie vykonávať podľa pokynov stanovených správcom systému a ktoré ostatní používatelia nemôžu upravovať.
V jadre Linux je za to zodpovedný modul subsystému zabezpečenia Linuxu, ktorý ponúka rôzne postupy, ktoré je možné vyvolať z nástrojov, ako je ten, ktorý je uvedený v tomto článku.
Na čo slúži AppArmor?
AppArmor používa paradigmu Povinné riadenie prístupu na zvýšenie bezpečnosti distribúcií Linuxu. Spolieha sa na modul subsystému zabezpečenia Linuxu, ktorý obmedzuje správanie jednotlivých aplikácií podľa zásad stanovených správcom.
Tieto smernice sú vyjadrené vo forme súborov obyčajného textu známych ako profily. Vďaka profilom môže správca systému obmedziť prístup k súborom, podmieniť interakcie medzi procesmi, určiť, v ktorých prípadoch je možné pripojiť súborový systém, obmedziť prístup k sieti, určiť kapacitu aplikácie a koľko zdrojov môžete použiť. Inými slovami, profil AppArmor obsahuje bielu listinu prijateľného správania pre každú aplikáciu.
Výhody tohto prístupu sú:
- Umožňuje správcom uplatňovať na aplikácie zásadu najmenších oprávnení. V prípade, že je aplikácia ohrozená, nebude mať prístup k súborom ani nebude vykonávať akcie mimo normálneho prevádzkového parametra.
- Profily sú napísané v jazyku priateľskom pre správcu a sú uložené na miestach, ku ktorým máte ľahký prístup.
- Aplikáciu jednotlivých profilov je možné povoliť alebo zakázať bez ohľadu na to, čo sa stane so zvyšnými profilmi. To umožňuje správcom zakázať a ladiť konkrétny profil pre konkrétnu aplikáciu bez toho, aby to ovplyvnilo činnosť zvyšku systému.
- V prípade, že sa aplikácia pokúsi vykonať akúkoľvek akciu, ktorá je v rozpore s tým, čo je stanovené v zodpovedajúcom profile, udalosť sa zaznamená. Týmto spôsobom dostanú správcovia včasné varovanie.
AppArmor nenahrádza diskrečné riadenie prístupuInými slovami, nemôžete autorizovať niečo, čo je zakázané, ale môžete zakázať niečo, čo je povolené.
AppArrmour je dodávaný s niektorými nástrojmi predinštalovanými vo veľkých distribúciách Linuxu a ďalšie nájdete v úložiskách.
Viac informácií nájdete na stránky projektu
AppArmor nie je brnenie …….????????????????
Istý. Hneď ako môžem, opravím to
Ďakujem