Entendiendo AppArmor en Ubuntu[Linux]

Probablemente haya oído hablar de AppArmor mientras instala Ubuntu, pero como no es una aplicación que aparece en el menú de aplicaciones y no aparece en ninguna forma gráfica, la mayoría de ustedes probablemente no tienen idea de lo que hace y por qué es esencial para su sistema. En resumen, AppArmor es un módulo de seguridad que limita los programas individuales a un conjunto de archivos y capacidades listadas para que no causen estragos en su sistema.

¿Qué es AppArmor?

AppArmor es un sistema de control de acceso obligatorio (MAC) que limita los programas a un conjunto limitado de recursos. Restringe los programas a un conjunto de archivos, atributos y capacidades, por lo que no es capaz de penetrar profundamente en el sistema y causar estragos (a menos que se le dé el permiso). En lugar del modelo UAC de Windows que da control a los usuarios, AppArmor vincula los atributos de control de acceso al propio programa.

Cómo funciona AppArmor

AppArmor funciona a nivel de kernel y se carga durante el arranque. La forma en que AppArmor gestiona los permisos es a través de Perfiles. Los perfiles son un conjunto de reglas que determinan lo que el programa puede y no puede hacer. Hay dos modos en los que se pueden ejecutar los Perfiles: Cumplimiento y Denunciar . El modo de aplicación es una aplicación estricta de la política definida en el perfil, así como la notificación de intentos de infracción de la política. El modo de quejas sólo informará de los intentos de violación de la política, pero no la hace cumplir. La mayoría de los perfiles se cargan en el modo Enforcement, aunque puede haber un buen número de perfiles de terceros que también se cargan en el modo Complain.

Comprobación del estado de AppArmor

Si utiliza Ubuntu 7.04 o superior, AppArmor se instala de forma predeterminada y se carga al iniciar el equipo. Para comprobar el estado de AppArmor, escriba el siguiente comando en el terminal:

sudo apparmor_status

Esto es lo que verás:



En mi sistema, se puede ver que hay 17 perfiles cargados en modo Enforcement y que AppArmor aplica 4 procesos que se están ejecutando actualmente.

Búsqueda de perfiles de AppArmor desactivados

Además de los perfiles que se ejecutan en el arranque, hay varios perfiles disponibles pero desactivados de forma predeterminada. Puede consultarlos en la carpeta «/etc/apparmor.d/disable». Desde aquí se puede ver que los perfiles de Firefox y Rsyslogd no están habilitados.



El perfil de Firefox fue probablemente desactivado porque lleva a una disminución del rendimiento en Firefox, pero si te gusta activar el perfil para que puedas navegar por la web con más tranquilidad, así es como puedes hacerlo.

Abra un terminal y escriba:

sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

Para desactivarlo de nuevo:

sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox

¿Cómo es un perfil de AppArmor?

Aunque los Perfiles suenan como un módulo de software complicado, en realidad es un simple archivo de texto con rutas de archivo incluidas que indican a qué carpetas y directorios puede acceder la aplicación. Así es como se ve el perfil de eVince (puede hacer clic fácilmente en cualquier perfil en la carpeta «/etc/apparmor.d» para abrirlo en su editor de texto).



Creación de sus propios perfiles para bloquear la aplicación

Ubuntu ha hecho un buen trabajo para protegerte, pero si quieres restringir una aplicación personalizada que no está protegida por Ubuntu, puedes crear tu propio perfil para bloquear la aplicación. Esto es particularmente útil en una condición de servidor donde muchas aplicaciones se están ejecutando en segundo plano donde no se puede ver.

Nota : Antes de crear sus propios perfiles, lo mejor es echar un vistazo a la biblioteca de perfiles de AppArmor existente para comprobar si el perfil de su aplicación está disponible. También puede instalar «apparmor-profiles» para obtener una lista adicional de perfiles.

Para crear sus propios perfiles AppArmor, primero debe instalar «apparmor-utils».

sudo apt-get install apparmor-utils

Una vez instalado, ejecute el siguiente comando para iniciar el perfilado:

sudo aa-genprof /path/to/application

donde «/path/to/application» es la ruta del archivo a la aplicación que desea perfilar. La carpeta de la aplicación por defecto es «/usr/bin», pero puede ser diferente dependiendo de la aplicación.



A continuación, (dejando el terminal en ejecución) inicie la aplicación que va a Perfil. Para este ejemplo, estoy usando Krita. Use la aplicación como lo hace normalmente cualquier otro día.

Para cada acción que realice en la aplicación, vuelva al terminal y pulse «Mayúsculas + s» para que se escanee en busca de cambios.



Desde aquí se puede ver la ruta a la que está accediendo la aplicación y la gravedad de la acción. A continuación, puede «Permitir (A)» o «Denegar (D)» la acción.

Siga haciendo esto durante el resto de las acciones realizadas en la aplicación. Para obtener el mejor resultado, es mejor que planifique su lista de acciones antes de iniciar la creación de perfiles.

Por último, cuando haya terminado, pulse «Shift + F» para finalizar la creación del perfil y «Shift + s» para guardar el perfil.



Una vez creado, el perfil se guardará en la carpeta «/etc/apparmor.d» y se cargará en modo Enforcement.

Editar perfiles

Para editar su perfil recién creado, utilice el siguiente comando:

sudo aa-logprof /path/to/application

AppArmor escaneará las entradas del registro y le permitirá realizar cambios en el perfil.

Detener y reiniciar AppArmor

Por algunas razones que necesita para detener o reiniciar AppArmor, puede hacerlo fácilmente con

aparato de servicio de persuasión parada #aparato de parada

y

Sudo service apparmor restart #restart apparmor

Para obtener más información sobre AppArmor, consulte la página de Ubuntu AppArmor .

Fotografía: Knight in Shining Armor

Fuente: este post proviene de Vida Tecno, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

Etiquetas: Linux

Recomendamos

Relacionado

Linux

Hemos mencionado herramientas que le permiten programar tareas en Ubuntu, pero si desea configurar un disparador y automatizar las tareas en función del resultado de una acción anterior, entonces CuttleFish sería el adecuado para usted. Cuttlefish es una aplicación para Ubuntu que permite crear una serie de tareas que pueden ser activadas en función del resultado de una acción previa. Como lo desc ...

Si estás usando Ubuntu y tienes algunos documentos privados que no quieres que sean de acceso público. ¿Qué debe hacer usted? Una de las maneras es encriptar su documento. Aunque puedes encriptar archivos individuales en Nautilus , una de las mejores maneras es crear un directorio encriptado en Ubuntu y almacenar todos tus archivos confidenciales en esta carpeta. Puede parecer complicado, pero con ...

Si ha seguido nuestra guía anterior sobre cómo dual boot su Mac con Ubuntu (o cualquier otra distribución de Linux), y ha actualizado su Mac OS X a Yosemite, encontrará que el cargador de arranque está sobreescrito y ya no podrá realizar un arranque dual en Ubuntu. Si usted está teniendo este problema, aquí está el arreglo: El kit de herramientas rEFit que estamos usando para la guía anterior no f ...

Linux

Un archivo.desktop es simplemente un acceso directo que se utiliza para iniciar una aplicación en Linux. Sin el archivo.desktop, su aplicación no aparecerá en el menú Aplicaciones y no podrá iniciarla con lanzadores de terceros como Synapse y Albert. La mayoría de las aplicaciones, una vez instaladas, crearán el archivo.desktop automáticamente y se ubicarán en el menú Aplicación para un acceso ráp ...

Linux

Samba es un servicio útil que se encuentra en la mayoría de los sistemas Unix y Linux y que le permite compartir archivos y servicios de impresión con otro ordenador, especialmente con un cliente de Microsoft Windows. En Ubuntu, aunque el gestor de archivos Nautiilus viene con una serie de protocolos de conexión para acceder a los archivos desde un servidor remoto, no convierte la máquina en un se ...

Linux

Si desea configurar un servidor web (o servidor de streaming) en su equipo Ubuntu, apache es un módulo importante que debe instalar. En este tutorial, le mostraremos cómo instalar y configurar apache para su Ubuntu. Nota : Si sólo quiere tener una configuración rápida del servidor LAMP, siga la guía aquí . Instalación de Apache Conseguir apache en su máquina Ubuntu es fácil. Utilizando el Synaptic ...

Linux

Siendo el gestor de archivos por defecto en Gnome y Ubuntu, Nautilus ha hecho bien su trabajo. Puede añadir marcadores a sus carpetas de uso frecuente, ver carpetas en pestañas, conectarse a un servidor remoto, hacer clic con el botón derecho para extraer archivos comprimidos, sincronizarse con Ubuntu One y muchas otras cosas útiles. Sin embargo, a veces puede encontrar que es un poco deficiente e ...

Linux

En las dos primeras partes de esta serie (una guía para principiantes sobre el uso de nmap y usos avanzados para nmap ) hemos visto que nmap es una herramienta potente, pero fácil de usar, para la detección de redes y la enumeración de servicios. Sin embargo, como muchas herramientas de línea de comandos, la riqueza de información a veces puede ser abrumadora y tal vez difícil de interpretar para ...

Linux

Si tiene el hábito de almacenar todos sus archivos temporales en su escritorio (o en cualquier otra carpeta) y se olvidó de eliminarlos más tarde, se dará cuenta de que su equipo se ensucia fácilmente con toneladas de archivos para los que no tiene uso. Una vez que eso sucede, la limpieza del equipo se convierte en una tarea tediosa y en una tarea problemática. Esta es una manera rápida y fácil de ...

Linux

Al abrir Nautilus (el administrador de archivos predeterminado) en Ubuntu, hay una entrada «Reciente» en el panel izquierdo que le permite ver los archivos recientes que ha abierto. Si ha abierto recientemente un archivo confidencial (o ha visto un vídeo prohibido), definitivamente no es necesario que el sistema lo registre y lo muestre en el lugar «Reciente». He aquí cómo pued ...