Sa loob ng mahabang panahon, ang mga gumagamit ng Linux ay tulad ng mga kalaban ng kwento ng tatlong maliit na baboy. Isang maling pakiramdam ang humantong sa amin upang maniwala na ligtas kami sa mga problema sa seguridad kung saan ang Windows ay madalas na biktima.
Ipinakita sa amin ng katotohanan na hindi kami gaanong napahamak tulad ng naisip namin. Bagaman, upang maging patas, ang karamihan sa mga naiulat na kahinaan ay napansin sa mga lab sa seguridad ng computer at, ang mga kondisyong kinakailangan upang samantalahin ang mga ito ay halos hindi umiiral sa totoong mundo, mayroon pa ring sapat na mga problema upang hindi namin mapababa ang aming bantay.
Mga hakbang sa seguridad ng Linux kernel
Ang pangkalahatang pinagkasunduan sa mga dalubhasa sa seguridad ng IT ay ang mga hakbang upang maiwasan ang hindi awtorisadong pagpasok sa system tulad ng mga firewall o mekanismo ng pagtuklas ng panghihimasok ay hindi na sapat upang ihinto ang lalong sopistikadong pag-atake. Kinakailangan na magtaguyod ng isang bagong linya ng depensa na, sa kaganapan ng isang hindi pinahintulutang pagpasok sa system, hindi pinapayagan ang mananakop na gumawa ng anumang nakakasama.
Ang prinsipyo ng hindi gaanong pribilehiyo
Ang prinsipyo ng hindi gaanong pribilehiyo ay itinatakda bilang isang pangunahing panuntunan sa seguridad na ang mga gumagamit ng isang computer system ay dapat lamang makatanggap ng minimum na hanay ng mga pribilehiyo at mapagkukunan na kinakailangan para maisagawa nila ang kanilang tukoy na pagpapaandar. Sa ganitong paraan, ang hindi tama o pabaya na paggamit ng isang application ay nabawasan o pinipigilan mula sa pagiging entry vector ng isang atake sa computer.
Sa loob ng mahabang panahon, nabuo ng mga linuxer ang aming kumpiyansa sa seguridad ng aming operating system sa isang mekanismo ng kernel na kilala bilang Discretionary Access Control. Tinutukoy ng Discretionary Access Control kung aling mga mapagkukunan ng system ang maaaring ma-access ng mga gumagamit at application.
Ang problema ay ang iyong saklaw ng mga pagpipilian ay napaka-limitado at, tulad ng ipinahihiwatig ng salitang paghuhusga, ang ilang mga gumagamit na may sapat na mga pahintulot ay maaaring gumawa ng mga pagbabago na maaaring pagsamantalahan ng mga cybercriminal.
Mandatory Access Control
Ang Mandatory Access Control ay naiiba mula sa Discretionary Access Control doon pinaghihigpitan ng operating system kung ano ang maaaring gawin ng mga application alinsunod sa mga tagubilin na itinatag ng system administrator at ang natitirang mga gumagamit ay hindi maaaring mabago.
Sa kernel ng Linux ito ang responsibilidad ng Linux Security Subsystem Module na nag-aalok ng iba't ibang mga pamamaraan na maaaring makuha mula sa mga tool tulad ng nabanggit sa artikulong ito.
Para saan ang AppArmor?
Gumagamit ang AppArmor ng mandatory Access Control paradigm upang mapagbuti ang seguridad ng mga pamamahagi ng Linux. Nakasalalay ito sa Linux Security Subsystem Module upang limitahan ang pag-uugali ng mga indibidwal na aplikasyon alinsunod sa mga patakaran na itinakda ng administrator.
Ang mga direktibong ito ay ipinahayag sa anyo ng mga payak na file ng teksto na kilala bilang mga profile. Salamat sa mga profile, maaaring paghigpitan ng administrator ng system ang pag-access sa mga file, kundisyon ng mga pakikipag-ugnayan sa pagitan ng mga proseso, maitaguyod kung aling mga kaso ang isang file system ay maaaring mai-mount, limitahan ang pag-access sa network, matukoy ang kakayahan ng isang application. At kung gaano karaming mga mapagkukunan ang maaari mong gamitin. Sa madaling salita, ang isang profile sa AppArmor ay naglalaman ng isang whitelist ng mga katanggap-tanggap na pag-uugali para sa bawat aplikasyon.
Ang mga pakinabang ng pamamaraang ito ay:
- Pinapayagan nitong mailapat ng mga tagapangasiwa ang alituntunin na hindi gaanong pribilehiyo sa mga aplikasyon. Sa kaganapan na nakompromiso ang isang application, hindi nito maa-access ang mga file o magsagawa ng mga pagkilos sa labas ng itinatag bilang isang normal na parameter ng pagpapatakbo.
- Ang mga profile ay nakasulat sa isang friendly friendly na wika at nakaimbak sa mga lokasyon na madali mong ma-access.
- Ang aplikasyon ng mga indibidwal na profile ay maaaring paganahin o hindi paganahin anuman ang mangyari sa natitirang mga profile. Pinapayagan nito ang mga administrator na huwag paganahin at i-debug ang isang tukoy na profile para sa isang tukoy na application nang hindi nakakaapekto sa pagpapatakbo ng natitirang system.
- Sa kaganapan na sinusubukan ng isang application na magsagawa ng anumang aksyon na sumasalungat sa itinatag sa kaukulang profile, naka-log ang kaganapan. Sa ganitong paraan nakatanggap ang mga tagapangasiwa ng maagang babala.
Hindi papalitan ng AppArmor ang Discretionary Access ControlSa madaling salita, hindi mo maaaring pahintulutan ang isang bagay na ipinagbabawal, ngunit maaari mong pagbawalan ang isang bagay na pinapayagan.
Ang AppArrmour ay may kasamang ilang mga tool na paunang naka-install sa mga pangunahing pamamahagi ng Linux, at maaari kang makahanap ng higit pa sa mga repository.
Maaari kang makahanap ng karagdagang impormasyon sa ang pahina ng proyekto
Ang AppArmor ba ay hindi nakasuot …….????????????????
Tiyak. Sa lalong madaling makakaya ko ay itatama ko ito
Salamat