Linux предлагает многопользовательскую среду, которая позволяет нескольким пользователям входить в систему и работать с ней одновременно. Однако не всем пользователям требуется равный доступ к системным ресурсам.
Чтобы решить эти проблемы, администраторы могут использовать различные методы для ограничения разрешений пользователей, гарантируя, что каждый пользователь имеет доступ только к ресурсам, необходимым для выполнения своих задач. Один из таких вариантов программного обеспечения, который может быть использован для этой цели, рассматривается в данной инструкции.
Программное обеспечение
Ограничение прав пользователей включает в себя настройку параметров безопасности различных конфигурационных файлов: пользователей, групп пользователей или процессов. Это можно сделать с помощью встроенных системных разрешений, групп пользователей или инструментов, таких как AppArmor. Системное разрешение предоставляет доступ к определенным субъектам информационных систем.
Такие возможности, как запись, чтение и выполнение доступа к объекту файловой системы. AppArmor и другое программное обеспечение могут быть модулями безопасности, которые предоставляют услуги безопасности через подмножество системы MAC concept и configuration process.
Установка и использование
Перед использованием основной утилиты обновите свою систему:
sudo apt update -y && sudo apt upgrade -y
Основные компоненты модуля security уже встроены в сервер Debian. Однако ресурсы управления и инструменты вам нужно скачивать отдельно. Абсолютно то же самое с профилями, установка вручную:
sudo apt install apparmor-utils apparmor-profiles -y
Давайте убедимся, что все работает правильно, и выполним следующую команду:
sudo apparmor_status
Для более гибкой настройки мы можем использовать профиль, созданный сообществом и разработчиками, они помогают быстро выполнить настройку для определенных задач. Итак, чтобы открыть этот профиль, напишите команду:
sudo ls -l /usr/share/apparmor/extra-profiles/ |head
Мы видим более 100 готовых к использованию профилей и можем настроить их:
sudo cp -r /usr/share/apparmor/extra—profiles/ /etc/apparmor.d/
Скопируйте шаблон для рабочей папки и активируйте его. Для более подробной настройки загляните в профиль, откройте с помощью команды:
sudo apt install nano -y && nano /etc/apparmor.d/bin.ping
Нажмите Ctrl + O для сохранения и Ctrl + X для выхода. Рассмотрим другой файл, чтобы у них были простые настройки конфигурации. Давайте взглянем на параметры:
- profile ping /{usr/,}bin/{,iputils—}ping flags=(complain). При этом объявляется новый профиль AppArmor с именем ping, который применяется к команде ping, расположенной по адресу /bin/ping или /usr/bin/ping или /usr/bin/iputils—ping. Параметр flags=(complain) указывает AppArmor регистрировать нарушения этого профиля вместо того, чтобы немедленно применять их.
- #include <abstractions/base>. Включает в себя базовые абстракции для системы, которая предоставляет общие шаблоны доступа и правила для путей к файлам, возможностей и других ресурсов;
- #include <abstractions/consoles>. Включает в себя правила доступа к консольным устройствам;
- #include <abstractions/nameservice>. Ввключает в себя правила доступа к базам данных служб имен, таким как DNS;
Изменяя эти параметры, вы можете более точно и гибко настроить систему в соответствии с вашей конкретной задачей.
Выполним проверку разрешений для команды ping:
Вывод
Следуя шагам, описанным в этой статье, администраторы могут создавать профили AppArmor и файлы журналов, анализировать их и вводить ограничения на разрешения пользователей. В конечном счете, внедрение этих методов приведет к созданию более безопасной и эффективной системы Linux.
