Come abilitare e disabilitare AppArmor su Ubuntu 20.04

I sistemi operativi Ubuntu sono dotati di AppArmor, un modulo di sicurezza del kernel Linux che consente all'amministratore di sistema di limitare le capacità dei programmi con profili per programma. I profili possono consentire l'accesso alla rete, l'accesso al socket non elaborato e l'autorizzazione a leggere, scrivere o eseguire file su percorsi corrispondenti. Gli utenti della famiglia Rhel noteranno che è simile a Selinux; tuttavia, funzionano in modo leggermente diverso e hanno vantaggi e svantaggi ciascuno.

Di seguito verrà illustrato come abilitare e disabilitare AppArmor e i singoli profili; normalmente, la maggior parte degli utenti non avrebbe bisogno di regolare alcuna impostazione con AppArmor, ma in caso di necessità, alcuni semplici comandi sono tutti necessari nel tutorial che spiegherà.

Prerequisiti

  • Sistema operativo consigliato: Ubuntu 20.04 - facoltativo (Ubuntu 21.04)
  • Account utente: Un account utente con accesso sudo o root.

pubblicità


Utilizzo dei comandi di sistema AppArmor

Per impostazione predefinita, Apparmor è installato e attivato durante l'installazione di Ubuntu. Per verificarne lo stato utilizzando il seguente comando:

sudo systemctl status apparmor

Esempio di output:

Come abilitare e disabilitare AppArmor su Ubuntu 20.04

La prossima è una carrellata sui comandi di comando systemctl:

Per fermare Apparmor:

sudo systemctl stop apparmor

Per disabilitare Apparmor all'avvio del sistema:

sudo systemctl disable apparmor

Per avviare Apparmor:

sudo systemctl start apparmor

Per abilitare Apparmor all'avvio del sistema (impostazione predefinita):

sudo systemctl enable apparmor

Per riavviare Apparmor:

sudo systemctl restart apparmor

Per ricaricare Apparmor:

sudo systemctl reload apparmor

Verifica lo stato dei profili AppArmor

Innanzitutto, è l'ideale per vedere lo stato dei profili Apparmor che può essere fatto utilizzando quanto segue comando systemctl:

sudo apparmor_status

Esempio di output:

apparmor module is loaded.
39 profiles are loaded.
37 profiles are in enforce mode.

In alternativa, puoi usare il comando di stato aa, che ti darà la stessa lettura:

sudo aa-status

Nota, vedrai un ampio elenco di profili nell'output. Farai spesso riferimento a questo comando quando controllerai se i profili saranno abilitati o disabilitati in futuro.


pubblicità


Disabilita e abilita i profili Apparmor

Se hai bisogno di disabilitare un determinato profilo Apparmor, questo può essere ottenuto individualmente senza disabilitare l'intera applicazione di sicurezza. Per prima cosa, dovrai accedere a /etc/apparmor.d directory come segue:

cd /etc/apparmor.d

Ora usando il comando ls, stampa un elenco di profili che esistono in questa directory:

sudo ls -s

Esempio di output:

Come abilitare e disabilitare AppArmor su Ubuntu 20.04

Ad esempio, per disabilitare profilo usr.sbin.cupsd. Per fare ciò, usa il seguente comando:

sudo ln -s /etc/apparmor.d/usr.sbin.cupsd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/disable/usr.sbin.cupsd

Ora usando il apparmor_status comando, puoi vedere che usr.sbin.cupsd viene rimosso nell'elenco dei tuoi profili.

sudo apparmor_status

Esempio di output con profilo rimosso:

1 processes are in enforce mode.
   /usr/sbin/cups-browsed (876) 

Da originariamente:

2 processes are in enforce mode.
   /usr/sbin/cups-browsed (876) 
   /usr/sbin/cupsd (800) 

Se vuoi vedere un elenco di regole disabilitate, vai alla directory /etc/apparmor.d/disable e usa il comando ls:

cd /etc/apparmor.d/disable
ls

Esempio di output:

Come abilitare e disabilitare AppArmor su Ubuntu 20.04

Se devi riattivare questo profilo o qualsiasi altro profilo disabilitato, usa il seguente comando:

sudo rm /etc/apparmor.d/disable/usr.sbin.cupsd
sudo apparmor_parser -r /etc/apparmor.d/usr.sbin.cupsd

Sarà necessario reboot il tuo sistema per vedere il profilo di nuovo nel comando apparmor_status:

sudo reboot now

Rimborsa il comando dell'app per rivedere il profilo:

sudo apparmor_status

Uscita con profilo posteriore:

2 processes are in enforce mode.
   /usr/sbin/cups-browsed (876) 
   /usr/sbin/cupsd (800) 

Commenti e Conclusione

Nel tutorial, hai imparato come disabilitare e abilitare i profili insieme all'applicazione AppArmor stessa; se hai bisogno di farlo, la maggior parte degli utenti non avrà mai nemmeno bisogno di pensarci; tuttavia, è un'abilità utile da imparare se si riscontrano problemi relativi all'applicazione AppArmor.

Sottoscrivi
Notifica
0 Commenti
Feedback in linea
Visualizza tutti i commenti
0
Amerei i tuoi pensieri, per favore commenta.x