長期以來,Linux 用戶就像三隻小豬故事的主角。 一種錯誤的感覺使我們相信我們可以安全地避免 Windows 經常遭受的安全問題。
現實告訴我們,我們並不像我們想像的那樣無懈可擊。 雖然,公平地說,大多數報告的漏洞都是在計算機安全實驗室中檢測到的,並且在現實世界中幾乎不存在利用它們所必需的條件,但仍然存在足夠多的問題,我們不能放鬆警惕。
Linux內核安全措施
IT 安全專家的普遍共識是,防止未經授權進入系統的措施(例如防火牆或入侵檢測機制)已不足以阻止日益複雜的攻擊。 有必要建立新的防線,在未經授權進入系統的情況下,不允許入侵者做任何有害的事情。
最小權限原則
最小特權原則作為一項基本安全規則確立 計算機系統的用戶應該只獲得他們執行特定功能所需的最低限度的權限和資源. 通過這種方式,可以減少或防止應用程序的不當或疏忽使用成為計算機攻擊的入口向量。
很長一段時間以來,linuxers 已經建立了我們對操作系統安全性的信心,這種機制基於一種稱為自由訪問控制的內核機制。 自主訪問控制確定用戶和應用程序可以訪問哪些系統資源。
問題是您的選擇範圍非常有限,而且正如自由裁量權這個詞所表明的那樣,一些具有足夠權限的用戶可以進行可能被網絡犯罪分子利用的修改。
強制訪問控制
強制訪問控制與自由訪問控制的不同之處在於 操作系統根據系統管理員制定的指令限制應用程序可以執行的操作,而其他用戶無法修改。
在 Linux 內核中,這是 Linux 安全子系統模塊的職責,它提供了不同的過程,可以從本文中提到的工具中調用這些過程。
AppArmor 有什麼用?
AppArmor 使用強制訪問控制範式來增強 Linux 發行版的安全性。 它依靠 Linux 安全子系統模塊根據管理員設置的策略限制單個應用程序的行為。
這些指令以稱為配置文件的純文本文件的形式表示。 借助配置文件,系統管理員可以限制對文件的訪問、調節進程之間的交互、確定在哪些情況下可以安裝文件系統、限製網絡訪問、確定應用程序的容量以及您可以使用多少資源。 換句話說,AppArmor 配置文件包含每個應用程序可接受行為的白名單。
這種方法的優點是:
- 它允許管理員將最小權限原則應用於應用程序。 如果應用程序遭到破壞,它將無法訪問文件或執行正常操作參數之外的操作。
- 配置文件以管理員友好的語言編寫並存儲在您可以輕鬆訪問的位置。
- 無論其餘配置文件發生什麼情況,都可以啟用或禁用單個配置文件的應用程序。 這允許管理員禁用和調試特定應用程序的特定配置文件,而不會影響系統其餘部分的操作。
- 如果應用程序嘗試執行與相應配置文件中建立的內容衝突的任何操作,則會記錄該事件。 通過這種方式,管理員可以收到預警。
AppArmor 不會取代自主訪問控制換句話說,你不能授權被禁止的東西,但你可以禁止被允許的東西。
AppArrmour 附帶一些預裝在主要 Linux 發行版上的工具,您可以在存儲庫中找到更多工具。
您可以在以下位置找到更多信息 該頁面 項目的
AppArmor不是盔甲嗎…….???????????????
肯定。 我盡快改正
謝謝