GNU/Linux >> Znalost Linux >  >> Ubuntu

Jak povolit a zakázat AppArmor na Ubuntu 20.04

Operační systémy Ubuntu jsou dodávány s AppArmor, bezpečnostním modulem linuxového jádra, který umožňuje správci systému omezit možnosti programů pomocí profilů pro jednotlivé programy. Profily mohou umožňovat síťový přístup, nezpracovaný přístup k soketu a oprávnění číst, zapisovat nebo spouštět soubory na odpovídajících cestách. Uživatelé rodiny Rhel by si všimli, že je to podobné jako Selinux; nicméně fungují jinak a mají své klady i zápory.

Níže bude popsáno, jak povolit a zakázat AppArmor a jednotlivé profily; většinou by většina uživatelů nemusela upravovat žádná nastavení pomocí AppArmor, ale pokud to bude potřeba, v tutoriálu jsou potřeba některé jednoduché příkazy, které vysvětlí.

Předpoklady

  • Doporučený operační systém: Ubuntu 20.04 nebo vyšší
  • Uživatelský účet: Uživatelský účet s sudo nebo root přístup.

Aktualizace operačního systému

Aktualizujte své Ubuntu operační systém, abyste se ujistili, že všechny existující balíčky jsou aktuální:

sudo apt update && sudo apt upgrade -y

Výukový program bude používatpříkaz sudo a za předpokladu, že máte status sudo .

Chcete-li ověřit stav sudo na vašem účtu:

sudo whoami

Ukázkový výstup zobrazující stav sudo: 

[joshua@ubuntu ~]$ sudo whoami
root

Chcete-li nastavit stávající nebo nový účet sudo, navštivte náš návod Jak přidat uživatele do Sudoers na Ubuntu .

Chcete-li použít rootový účet , použijte k přihlášení následující příkaz s heslem uživatele root.

su

Výukový program bude využívat terminálové rozhraní, které naleznete v nabídce zobrazit aplikace.

Příklad:

Práce se systémovými příkazy AppArmor

Ve výchozím nastavení je Apparmor nainstalován a zapnut při instalaci Ubuntu. Chcete-li ověřit jeho stav, použijte následující příkaz:

sudo systemctl status apparmor

Příklad výstupu:

Další je shrnutí příkazů systemctl commands:

Zastavení Apparmor: 

sudo systemctl stop apparmor

Deaktivace aplikace Apparmor při spouštění systému: 

sudo systemctl disable apparmor

Spuštění aplikace Apparmor: 

sudo systemctl start apparmor

Povolení Apparmor při spouštění systému (výchozí): 

sudo systemctl enable apparmor

Restartování aplikace Apparmor: 

sudo systemctl restart apparmor

Opětovné načtení Apparmoru: 

sudo systemctl reload apparmor

Ověřte stav profilů AppArmor

Za prvé je ideální vidět stav profilů Apparmor, což lze provést pomocí následujícího příkazu systemctl :

sudo apparmor_status

Příklad výstupu: 

apparmor module is loaded.
39 profiles are loaded.
37 profiles are in enforce mode.

Případně můžete použít příkaz aa-status což vám dá přesný údaj:

sudo aa-status

Všimněte si, že ve výstupu uvidíte rozsáhlý seznam profilů. Při kontrole, zda jsou profily v budoucnu povoleny nebo zakázány, se budete často vracet k tomuto příkazu.

Zakázat a povolit profily Apparmor

Pokud potřebujete deaktivovat konkrétní profil Apparmor, lze toho dosáhnout individuálně bez deaktivace celé bezpečnostní aplikace. Nejprve budete muset přejít na /etc/apparmor.d adresář takto:

cd /etc/apparmor.d

Nyní pomocí příkazu ls vytiskněte seznam profilů, které existují v tomto adresáři:

sudo ls -s

Příklad výstupu:

Chcete-li například zakázat profil usr.sbin.cupsd . Chcete-li to provést, použijte následující příkaz:

sudo ln -s /etc/apparmor.d/usr.sbin.cupsd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/disable/usr.sbin.cupsd

Pomocí parametru apparmor_status příkaz, můžete vidět usr.sbin.cupsd odstraněn ze seznamu vašich profilů.

sudo apparmor_status

Příklad výstupu s odstraněným profilem: 

1 processes are in enforce mode.
   /usr/sbin/cups-browsed (876)

Z původního: 

2 processes are in enforce mode.
   /usr/sbin/cups-browsed (876) 
   /usr/sbin/cupsd (800)

Pokud chcete zobrazit seznam pravidel, která jsou zakázána, přejděte do adresáře /etc/apparmor.d/disable a použijte příkaz ls:

cd /etc/apparmor.d/disable
ls

Příklad výstupu:

Pokud potřebujete znovu povolit tento profil nebo jakýkoli jiný profil, který je zakázán, použijte následující příkaz:

sudo rm /etc/apparmor.d/disable/usr.sbin.cupsd
sudo apparmor_parser -r /etc/apparmor.d/usr.sbin.cupsd

Budete muset restartovat váš systém, aby se profil zobrazil zpět v příkazu apparmor_status :

sudo reboot now

Pro zobrazení profilu znovu použijte příkaz stavu aplikace:

sudo apparmor_status

Výstup se zpětným profilem: 

2 processes are in enforce mode.
   /usr/sbin/cups-browsed (876) 
   /usr/sbin/cupsd (800)

Ubuntu

  1. Jak zakázat/povolit automatické připojení k Wifi?

  2. Ubuntu 20.04 – Jak povolit Hwe?

  3. Jak povolit a zakázat Wayland na Ubuntu

  1. Jak povolit SSH na Ubuntu 18.04

  2. Jak povolit/zakázat UFW Firewall na Ubuntu 18.04

  3. Jak povolit/zakázat wayland na Ubuntu 20.04 Desktop

  1. Jak zakázat/povolit SELinux na Ubuntu 20.04 Focal Fossa Linux

  2. Jak deaktivovat AppArmor na Ubuntu 20.04 Focal Fossa Linux

  3. Jak povolit/zakázat wayland na Ubuntu 22.04 Desktop