La infraestructura de red moderna depende en gran medida de Linux, que proporciona un poderoso mecanismo para controlar los recursos del sistema con precisión. Linux ofrece un entorno multiusuario que permite múltiples usuarios para iniciar sesión y trabajar en el sistema simultáneamente. Sin embargo, no todos los usuarios requieren el mismo acceso a los recursos del sistema ni poseen el mismo nivel de confiabilidad.
Para abordar estas preocupaciones, los administradores pueden utilizar varias técnicas para limitar los permisos de los usuarios, asegurando que cada usuario sólo tiene acceso a los recursos necesarios para completar sus tareas. En esta instrucción se considera una de las opciones de software que se puede usar para este propósito. En el episodio anterior, consideramos la construcción de perfil express, si aún no lo viste, ¡échale un vistazo!
Software
Restringir los derechos de los usuarios implica configurar la seguridad parametros de diferentes archivos de configuración: usuarios, grupos de usuarios o procesos. Esto se puede hacer usando permisos del sistema integrados, grupos de usuarios o herramientas. como aplicaciónArmor. El permiso del sistema da acceso a temas específicos de los sistemas de información.
Disponibilidades como acceso de escritura, lectura y ejecución al objeto del sistema de archivos. aplicaciónArmu otro software puede ser módulos de seguridad que proporcionen servicios de seguridad a través del concepto MAC y el subconjunto del proceso de confinamiento del sistema.
Instalar y explotar
Antes de usar la utilidad principal, actualice y actualice su sistema:
sudo apt update -y && sudo apt upgrade -y
Los componentes principales del módulo de seguridad ya están integrados en el servidor Debuan. Sin embargo, los recursos y herramientas de administración que necesita descargar por separado, absolutamente lo mismo con los perfiles, se instalan manualmente:
sudo apt install apparmor-utils apparmor-profiles -y
Asegurémonos de que todo funcione correctamente y ejecutemos el siguiente comando:
sudo apparmor_status
Para una configuración más profunda y flexible, podemos usar el perfil creado por la comunidad y los desarrolladores, ayudan a rapidly hacer una configuración para determinar las tareas. Entonces, para abrir este comando de escritura de perfiles:
sudo ls -l /usr/share/apparmor/extra-profiles/ |head
Podemos ver más de 100 perfiles listos para usar y configurarlos:
sudo cp -r /usr/share/apparmor/extra-profiles/ /etc/apparmor.d/
Comando copiar plantilla para carpeta de trabajadores y activarlos. Para una configuración más detallada, mire el perfil, con el comando ábralos:
sudo apt install nano -y && nano /etc/apparmor.d/bin.ping
#include <tunables/global>
profile ping /{usr/,}bin/{,iputils-}ping flags=(complain) {
#include <abstractions/base>
#include <abstractions/consoles>
#include <abstractions/nameservice>
capability net_raw,
capability setuid, network inet raw,
network inet6 raw,
/{,usr/}bin/{,iputils-}ping mixr, /etc/modules.conf r,Presione Ctrl + O para guardar y Ctrl + X para salir. Considere un archivo diferente para que tengan ajustes de configuración un poco simples. Echemos un vistazo a un paraméteres:
- ping de perfil /{usr/,}bin/{,iputils—}ping flags=(queja): Esto declara una nueva aplicaciónArmo perfil llamado ping que se aplica al comando ping, que se encuentra en /bin/ping o /usr/bin/ping o /usr/bin/iputils—ping. La opción flags=(queja) le dice a la aplicaciónArmo para registrar violaciones de este perfil en lugar de aplicarlas de inmediato;
- #incluir: Esto incluye las abstracciones base para el sistema, que proporciona patrones y reglas de acceso comunes para rutas de archivos, capacidades y otros recursos;
- #incluir: Esto incluye reglas para acceder a los dispositivos de la consola;
- #incluir: Esto incluye reglas para acceder a bases de datos de servicio de nombres como DNS.
Al cambiar estos parametros, puede configurar el sistema de manera más precisa y flexible para cumplir con su tarea específica.
Verifique el permiso para la plantilla de ping:
Conclusión
La restricción de permisos de usuario es un aspecto esencial de la gestión Linux sistemas Permite a los administradores asegurarse de que los usuarios solo tengan acceso a los recursos necesarios y reduce el riesgo de infracciones de seguridad. aplicaciónArmo es una poderosa herramienta que puede ayudar a los administradores a restringir los permisos de los usuarios definiendo perfiles específicos para los usuarios y sus procesos asociados.
Siguiendo los pasos descritos en este artículo, los administradores pueden crear aplicacionesArmo perfiles y archivos de registro, analícelos y aplique restricciones a los permisos de los usuarios. En última instancia, la implementación de estas técnicas conducirá a un sistema más seguro y eficiente. Linux .
