Уровень сложности: средний

Евгений Ивашко, Сотрудник Института РАН, Институт прикладных математических исследований Карельского научного центра РАН.

13.10.2009

Во второй части серии статей «Безопасный Linux» мы продолжим исследование возможностей и приемов работы с AppArmor – простым средством защиты на основе принципа «запрещено все, что не разрешено явно»

1. Взгляд назад

В прошлой статье (см. раздел «Ресурсы») мы исследовали базовые возможности и воспользовались уже готовыми профилями AppArmor. Прежде чем перейти к основной теме этой статьи – созданию собственных профилей, кратко вспомним о том, что нам уже известно:

• AppArmor реализует мандатный контроль доступа на основе принципа «запрещено все, что не разрешено явно»;
• AppArmor контролирует только те программы, для которых существует и загружен (активен) профиль;
• для AppArmor важен абсолютный путь к контролируемой программе – именно он отличает одно приложение от другого;
• AppArmor разрешает только те действия, которые перечислены в правилах профиля программы, запрещая все остальные;
• существуют два основных режима контроля: тестовый режим complain (он же режим обучения), при котором действия не запрещаются, но в лог-файл записывается сообщение о нарушении правил профиля программы, и enforce – рабочий режим, при котором доступные программе действия ограничиваются согласно профилю;

• сообщения о попытках нарушения правил профиля записываются в файл /var/log/audit/audit.log или /var/log/messages (в зависимости от настроек).

Эта статья посвящена профилям программ, контролируемых системой AppArmor. Цель статьи – дать обзор возможностей, предоставляемых для контроля приложений, и ссылки на более подробную и специализированную документацию.