2008-04-17

Kas lācītim vēderā #2: AppArmor

Iepriekšējais ieraksts bija vairāk par jaunumiem Ubuntu 8.04 LTS darbavirsmas sakarā. Taču servera sistēmai ir pievienotas jaunas ļoti interesantas iespējas, un par vienu no tām - AppArmor, kas ir vienkārša, bet efektīva papildus drošībai domāta sistēma. Tā kā saskāros jau ar pāris problēmām AA sakarā, gribētu piezīmēt pāris lietas.

Pirmām kārtām, visiem oficiālajiem dēmoniem tagad ir savs AA profils. Tas nozīmē, ka pēc noklusējuma, piemēram BIND nevarēs ierakstīt žurnālu failus mistiskā /var/log/named (ja tur izveidosiet savu žurnālu failu glabātuvi) direktorijā, ja pat būsiet piešķīruši šai direktorijai un failiem 777 permisijas. Bez liekas nervozēšanas veram vaļā /etc/apparmor.d/usr.sbin.named un rediģējam ļoti labi saprotamo konfigurācijas failu.

Ir arī iespēja izmantot 'aa-complain' un 'aa-enforce' komandas. Pirmā ieslēgs programmu bezierobežojumu režīmā, taču AA "piefilmēs" visu, ko šis dēmons dara un kurās vietās tam ir jāpiekļūst, kur jāraksta faili, utt. Pēc tam kad noteikumi būs izveidoti, ar aa-enforce varēsiet ieslēgt šo profilu, kas paliks tāds visu laiku. AA izmanto Linux Security Modules principu, tātad, tas viss iet caur labo audit moduli Linux kodolā un appiet tādējādi to nav iespējams.

Protams, vecajiem bukiem, kas izmanto chroot, mīļāks joprojām šķitīs tāds variants, bet šis arī nav slikts, it īpaši, ja negribās ķēpāties ar chroot uzstādīšanu un gribās pilnībā funkcionējošu sistēmu ar nelielu papildus drošību.

p.s. AppArmor ir ieslēgts visa veida sistēmām, arī darbavirsmai (Ubuntu/Kubuntu), tā kā to pat var izmantot zināmu "policy" noteikumu ieviešanai darba vietā vai kur citur.
p.s.s. AppArmor nāca jau līdz 7.10, taču nopietnāku noteikumu pielietošana nāks tikai ar 8.04 laidienu, turklāt tas būs tas, ko drīz visi administrātori lietos jaunajiem serveriem Dapper vietā.

Nav komentāru: