Les systèmes d'exploitation Ubuntu sont livrés avec AppArmor, un module de sécurité du noyau Linux qui permet à l'administrateur système de restreindre les capacités des programmes avec des profils par programme. Les profils peuvent autoriser l'accès au réseau, l'accès au socket brut et l'autorisation de lire, d'écrire ou d'exécuter des fichiers sur des chemins correspondants. Les utilisateurs de la famille Rhel remarqueront que cela ressemble à Selinux; cependant, ils fonctionnent différemment et ont des avantages et des inconvénients.
Ce qui suit explique comment activer et désactiver AppArmor et les profils individuels ; généralement, la plupart des utilisateurs n'ont pas besoin d'ajuster les paramètres avec AppArmor, mais si le besoin s'en fait sentir, certaines commandes simples sont toutes nécessaires dans le didacticiel.
Prérequis
- OS recommandé : Ubuntu 20.04 ou supérieur
- Compte utilisateur : Un compte utilisateur avec sudo ou accès root.
Mettre à jour le système d'exploitation
Mettez à jour votre Ubuntu système d'exploitation pour s'assurer que tous les packages existants sont à jour :
sudo apt update && sudo apt upgrade -y
Le tutoriel utilisera la commande sudo et en supposant que vous avez le statut sudo .
Pour vérifier le statut sudo sur votre compte :
sudo whoami
Exemple de sortie montrant l'état de sudo :
[joshua@ubuntu ~]$ sudo whoami
root
Pour configurer un compte sudo existant ou nouveau, visitez notre tutoriel sur Comment ajouter un utilisateur aux Sudoers sur Ubuntu .
Pour utiliser le compte racine , utilisez la commande suivante avec le mot de passe root pour vous connecter.
su
Le didacticiel utilisera l'interface du terminal, qui se trouve dans le menu afficher les applications.
Exemple :
Utilisation des commandes système AppArmor
Par défaut, Apparmor est installé et activé lors de l'installation d'Ubuntu. Pour vérifier son état à l'aide de la commande suivante :
sudo systemctl status apparmor
Exemple de résultat :
Vient ensuite un aperçu des commandes systemctl de la commande :
Pour arrêter Apparmor :
sudo systemctl stop apparmor
Pour désactiver Apparmor au démarrage du système :
sudo systemctl disable apparmor
Pour démarrer Apparmor :
sudo systemctl start apparmor
Pour activer Apparmor au démarrage du système (par défaut) :
sudo systemctl enable apparmor
Pour redémarrer Apparmor :
sudo systemctl restart apparmor
Pour recharger Apparmor :
sudo systemctl reload apparmor
Vérifier l'état des profils AppArmor
Tout d'abord, il est idéal de voir l'état des profils Apparmor, ce qui peut être fait à l'aide de la commande systemctl suivante :
sudo apparmor_status
Exemple de résultat :
apparmor module is loaded.
39 profiles are loaded.
37 profiles are in enforce mode.
Alternativement, vous pouvez utiliser la commande aa-status, qui vous donnera la lecture exacte :
sudo aa-status
Notez que vous verrez une longue liste de profils dans la sortie. Vous vous référerez souvent à cette commande lorsque vous vérifierez si les profils sont activés ou désactivés à l'avenir.
Désactiver et activer les profils Apparmor
Si vous devez désactiver un profil Apparmor spécifique, cela peut être réalisé individuellement sans désactiver l'ensemble de l'application de sécurité. Tout d'abord, vous devrez accéder à /etc/apparmor.d répertoire comme suit :
cd /etc/apparmor.d
Maintenant, à l'aide de la commande ls, imprimez une liste des profils qui existent dans ce répertoire :
sudo ls -s
Exemple de résultat :
Par exemple, pour désactiver le profil usr.sbin.cupsd . Pour cela, utilisez la commande suivante :
sudo ln -s /etc/apparmor.d/usr.sbin.cupsd /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/disable/usr.sbin.cupsd
Utilisation de apparmor_status commande, vous pouvez voir usr.sbin.cupsd supprimé de votre liste de profils.
sudo apparmor_status
Exemple de résultat avec profil supprimé :
Les processus1 processes are in enforce mode.
/usr/sbin/cups-browsed (876)
Depuis l'origine :
2 processes are in enforce mode.
/usr/sbin/cups-browsed (876)
/usr/sbin/cupsd (800)
Si vous souhaitez voir une liste des règles désactivées, accédez au répertoire /etc/apparmor.d/disable et utilisez la commande ls :
cd /etc/apparmor.d/disable
ls
Exemple de résultat :
Si vous devez réactiver ce profil ou tout autre profil désactivé, utilisez la commande suivante :
sudo rm /etc/apparmor.d/disable/usr.sbin.cupsd
sudo apparmor_parser -r /etc/apparmor.d/usr.sbin.cupsd
Vous devrez redémarrer votre système pour voir le profil dans la commande apparmor_status :
sudo reboot now
Réutilisez la commande d'état de l'application pour revoir le profil :
sudo apparmor_status
Sortie avec le profil en arrière :
2 processes are in enforce mode.
/usr/sbin/cups-browsed (876)
/usr/sbin/cupsd (800)