在当今网络安全威胁日益增多的环境下,保护操作系统中的应用程序变得尤为重要。Ubuntu 作为广受欢迎的 Linux 发行版,内置了多种安全机制,其中 AppArmor 是一个轻量级但功能强大的强制访问控制(MAC)安全模块。本文将带你从零开始了解并配置 Ubuntu AppArmor 安全模块,即使你是 Linux 新手,也能轻松上手!
什么是 AppArmor?
AppArmor(Application Armor)是 Linux 内核的一个安全模块,用于限制程序的能力,防止恶意行为或漏洞被利用。它通过为每个程序定义“配置文件”(profile),明确允许该程序可以访问哪些文件、网络端口、系统调用等资源。
与 SELinux 等其他 MAC 系统相比,AppArmor 更易于理解和配置,因此被 Ubuntu 默认启用。
检查 AppArmor 是否已启用
在 Ubuntu 系统中,AppArmor 通常默认启用。你可以通过以下命令确认其状态:
如果看到类似以下输出,说明 AppArmor 正在运行,并且已有部分程序受其保护: 假设你有一个自定义脚本 首先安装 AppArmor 工具(如未安装): 然后使用 此时,工具会进入交互式模式。你需要在另一个终端中运行你的脚本: 返回到 你也可以手动创建配置文件。例如,为 保存后,加载配置文件并设为强制模式: AppArmor 的日志通常记录在 日志中会显示被拒绝的操作,帮助你调整配置文件。 通过本文,你已经掌握了 Ubuntu AppArmor安全模块 的基本概念、启用方法、配置文件创建以及日志分析技巧。无论是提升 Linux应用安全 还是加强 Ubuntu系统安全,AppArmor 都是一个值得信赖的工具。希望这篇 AppArmor配置教程 能帮助你在实际工作中更好地保护你的系统! —— 安全始于细节,防护源于实践 ——sudo apparmor_status apparmor module is loaded.10 profiles are loaded.7 profiles are in enforce mode. /usr/bin/firefox /usr/sbin/nginx ... AppArmor 的两种模式
Enforce 模式(强制模式):严格限制程序行为,违反规则的操作会被阻止并记录日志。 Complain 模式(投诉模式):不阻止违规操作,但会记录日志,适合调试和测试新配置文件。 创建自定义 AppArmor 配置文件
/home/user/myapp.sh,你想限制它只能读取 /tmp
目录下的文件。sudo apt updatesudo apt install apparmor-utils aa-genprof
工具生成配置文件:sudo aa-genprof /home/user/myapp.sh /home/user/myapp.sh aa-genprof
终端,按提示选择允许或拒绝每个访问请求。完成后,配置文件将自动保存到 /etc/apparmor.d/
目录下。手动编写配置文件示例
/usr/local/bin/mytool
创建如下配置:# vim /etc/apparmor.d/usr.local.bin.mytool#include <tunables/global>/usr/local/bin/mytool { #include <abstractions/base> # 允许读取 /tmp 下的所有文件 /tmp/** r, # 允许执行自身 /usr/local/bin/mytool mr, # 拒绝写入敏感目录 deny /etc/** w, deny /home/** w,} sudo apparmor_parser -r /etc/apparmor.d/usr.local.bin.mytool 查看日志与故障排查
/var/log/syslog
或 /var/log/audit/audit.log
中。你可以使用以下命令过滤相关日志:sudo grep apparmor /var/log/syslog 总结
