Die moderne Netzwerkinfrastruktur ist stark darauf angewiesen Linux, das einen leistungsstarken Mechanismus zur präzisen Steuerung von Systemressourcen bietet. Linux bietet eine Mehrbenutzerumgebung das erlaubt mehrere Benutzer um sich anzumelden und gleichzeitig am System zu arbeiten. Allerdings benötigen nicht alle Benutzer den gleichen Zugriff auf Systemressourcen oder verfügen über das gleiche Maß an Vertrauenswürdigkeit.
Um diese Bedenken auszuräumen, können Administratoren verschiedene Techniken nutzen, um die Benutzerberechtigungen einzuschränken und so sicherzustellen, dass jeder Benutzer geschützt ist hat nur Zugriff auf die notwendigen Ressourcen um ihre Aufgaben zu erledigen. Eine solche Softwareoption, die zu diesem Zweck verwendet werden kann, wird in dieser Anleitung betrachtet. In der vorherigen Folge, wir erwägen die Express-Profilerstellung, falls Sie das noch nicht gesehen haben, schauen Sie es sich an!
Software
Das Einschränken von Benutzerrechten erfordert die Konfiguration von SicherheitseinstellungenramParameter verschiedener Konfigurationsdateien: Benutzer, Benutzergruppen oder Prozesse. Dies kann über integrierte Systemberechtigungen, Benutzergruppen oder Tools erfolgen wie AppArmor. Die Systemberechtigung gewährt Zugriff auf bestimmte Informationssystemthemen.
Verfügbarkeiten wie schreibender, lesender und ausführender Zugriff auf das Objekt des Dateisystems. AppArmoder und andere Software können Sicherheitsmodule sein, die Sicherheitsdienste über das MAC-Konzept und die Eingrenzungsprozess-Teilmenge des Systems bereitstellen.
Installieren und nutzen
Bevor Sie das Hauptdienstprogramm verwenden, aktualisieren und aktualisieren Sie Ihr System:
sudo apt update -y && sudo apt upgrade -y
Die Hauptkomponenten des Sicherheitsmoduls sind bereits in den Debuan-Server integriert. Verwaltungsressourcen und -tools müssen jedoch separat heruntergeladen werden. Genau das Gleiche gilt für Profile. Die Installation erfolgt manuell:
sudo apt install apparmor-utils apparmor-profiles -y
Stellen Sie sicher, dass alles ordnungsgemäß funktioniert, und führen Sie den folgenden Befehl aus:
sudo apparmor_status
Für eine tiefgreifendere und flexiblere Konfiguration können wir von der Community und den Entwicklern erstellte Profile verwenden, sie helfen rapiNehmen Sie sofort ein Setup für bestimmte Aufgaben vor. Um dieses Profil zu öffnen, schreiben Sie den folgenden Befehl:
sudo ls -l /usr/share/apparmor/extra-profiles/ |head
Wir können mehr als 100 gebrauchsfertige Profile sehen und diese einrichten:
sudo cp -r /usr/share/apparmor/extra-profiles/ /etc/apparmor.d/
Kopieren Sie die Vorlage für den Worker-Ordner und aktivieren Sie sie. Für eine detailliertere Konfiguration schauen Sie sich das Profil an und öffnen Sie es mit dem Befehl:
sudo apt install nano -y && nano /etc/apparmor.d/bin.ping
#include <tunables/global>
profile ping /{usr/,}bin/{,iputils-}ping flags=(complain) {
#include <abstractions/base>
#include <abstractions/consoles>
#include <abstractions/nameservice>
capability net_raw,
capability setuid, network inet raw,
network inet6 raw,
/{,usr/}bin/{,iputils-}ping mixr, /etc/modules.conf r,Drücken Sie Strg + O zum Speichern und Strg + X zum Beenden. Betrachten Sie eine andere Datei, damit diese etwas einfachere Konfigurationseinstellungen hat. Werfen wir einen Blick auf einen Vaterrameter:
- Profil-Ping /{usr/,}bin/{,iputils—}ping flags=(beschweren): Dies deklariert eine neue AppArmoder ein Profil mit dem Namen ping, das auf den Ping-Befehl angewendet wird und sich unter /bin/ping oder /usr/bin/ping oder /usr/bin/iputils – ping befindet. Die Option flags=(complain) teilt App mitArmoder Verstöße gegen dieses Profil zu protokollieren, anstatt sie sofort durchzusetzen;
- #enthalten: Dazu gehören die Basisabstraktionen für das System, die allgemeine Zugriffsmuster und Regeln für Dateipfade, Funktionen und andere Ressourcen bereitstellen;
- #enthalten: Dazu gehören Regeln für den Zugriff auf Konsolengeräte;
- #enthalten: Dazu gehören Regeln für den Zugriff auf Namensdienstdatenbanken wie DNS.
Durch die Änderung dieser paramDadurch können Sie das System präziser und flexibler an Ihre spezifische Aufgabe anpassen.
Berechtigung für Ping-Vorlage prüfen:
Zusammenfassung
Das Einschränken von Benutzerberechtigungen ist ein wesentlicher Aspekt der Verwaltung Linux Systeme. Damit können Administratoren sicherstellen, dass Benutzer nur Zugriff auf die erforderlichen Ressourcen haben, und das Risiko von Sicherheitsverletzungen verringern. AppArmoder ist ein leistungsstarkes Tool, das Administratoren dabei helfen kann, Benutzerberechtigungen einzuschränken, indem es spezifische Profile für Benutzer und die damit verbundenen Prozesse definiert.
Durch Befolgen der in diesem Artikel beschriebenen Schritte können Administratoren eine App erstellenArmoder Profile und Protokolldateien, analysieren sie und erzwingen Einschränkungen der Benutzerberechtigungen. Letztendlich wird die Implementierung dieser Techniken zu mehr Sicherheit und Effizienz führen Linux System funktionieren.
