Linux позволяет осуществлять контроль над системными ресурсами. Одним из способов осуществления такого контроля является ограничение прав пользователя. По умолчанию в системах Linux настроена многопользовательская среда, которая позволяет нескольким пользователям одновременно входить в систему и выполнять задачи.
Однако не всем пользователям требуется доступ ко всем системным ресурсам. Чтобы решить эти проблемы, администраторы могут использовать различные методы ограничения пользовательских разрешений таким образом, чтобы каждый имел только необходимый уровень доступа для выполнения своих задач.
Программное обеспечение
Ограничение прав пользователей включает в себя настройку параметров безопасности различных конфигурационных файлов: пользователей, групп пользователей или процессов. Это можно сделать с помощью встроенных системных разрешений, групп пользователей или таких инструментов, как AppArmor. Системное разрешение предоставляет доступ к определенным субъектам информационных систем.
Такие возможности, как запись, чтение и выполнение доступа к объекту файловой системы. AppArmor и другое программное обеспечение могут быть модулями безопасности, которые предоставляют услуги безопасности через подмножество системы MAC concept и configuration process.
Установка и использование
Перед использованием основной утилиты обновите свою систему :
sudo apt update —y && sudo apt upgrade —y
Установите необходимый пакет для создания профиля и файла журнала:
sudo apt install apparmor—utils apparmor
И проверьте наличие пакета в утилитах:
Процесс будет структурирован следующим образом: мы создаем профиль для пользователей, которые начинают сканировать свои действия и перемещения, запускаем необходимую для пользователя программу, которая влияет на их процесс. Теперь мы можем собрать все файлы журнала и установить для него разрешение. Сначала создайте профиль пользователя, которого вам нужно ограничить:
sudo aa—genprof —h 
Мы можем увидеть шаблон синтаксиса программы и заполнить пробелы, следуя этому примеру:
sudo aa—genprof sudo
Вы можете использовать любой параметр на экране ниже, но мы используем настройку по умолчанию. Теперь, как вы можете видеть из инструкции, мы должны создать новое окно в нашем удаленном программном приложении:
Запустите все программы, которые вам нужно использовать, и подождите, теперь они полностью запускаются, требуя записи процесса в журнал регистрации:
Перейдите к предыдущему окну и остановите процесс, нажав букву F на клавиатуре. Перейдите к файлам журнала и проверьте, правильно ли запускается процесс ядра AppArmor:
sudo journalctl —k
После того, как мы убедимся, что все процессы запускаются правильно, нам нужно обновить файл журнала в AppArmour:
aa—logprof
Запустите профиль в принудительном режиме, который может включить систему ограничений MAC:
aa—enforce /usr/bin/sudo
Вывод
Ограничение прав позволяет администраторам гарантировать, что пользователи имеют доступ только к необходимым ресурсам, и снижает риск нарушений безопасности. AppArmor — это инструмент, который может помочь администраторам ограничить права пользователей, определив конкретные профили для пользователей и связанных с ними процессов.
Следуя шагам, описанным в этой статье, администраторы могут создавать профили AppArmor и файлы журналов, анализировать их и вводить ограничения на разрешения пользователей. В конечном счете, внедрение этих методов приведет к созданию более безопасной и эффективной системы Linux. В следующей серии инструкций рассмотрим шаблоны и гибкую настройку!
