Ubuntu默認安全框架:AppArmor
Ubuntu系統默認采用AppArmor(Application Armor)作為安全模塊���,通過為應用程序定義安全配置文件(Profile)��,限制其可訪問的文件����、網絡端口����、系統能力等資源����,實現進程與資源的隔離�����。AppArmor的配置基于路徑�,策略生效后���,違規行為會被記錄到系統日志(/var/log/syslog或/var/log/kern.log)�。
1. 檢查AppArmor狀態
使用以下命令確認AppArmor是否啟用及運行狀態:
sudo apparmor_status
輸出示例:
apparmor module is loaded.
12 profiles are loaded.
12 profiles are in enforce mode.
...
- loaded:配置文件已加載�����;
- enforce mode:策略生效(違規行為被阻止并記錄)���;
- complain mode:策略不生效�,但違規行為被記錄(用于調試)�����。
2. 管理AppArmor配置文件
AppArmor的配置文件位于/etc/apparmor.d/目錄��,文件名通常與應用程序的二進制路徑相關(如/usr/sbin/nginx的配置文件為usr.sbin.nginx)����。
- 查看配置文件語法:配置文件使用簡潔的語法定義規則���,例如Nginx的簡化Profile:
#include <tunables/global>
/usr/sbin/nginx {
#include <abstractions/apache2-common> # 包含通用規則
#include <abstractions/base>
capability net_bind_service, # 允許綁定網絡端口
/etc/nginx/** r, # 允許讀取/etc/nginx目錄下的所有文件
/usr/sbin/nginx mr, # 允許讀取和執行nginx二進制文件
/var/log/nginx/** rw, # 允許讀寫/var/log/nginx目錄下的文件
}
關鍵符號說明:r=讀��、w=寫���、x=執行���、m=內存映射����。
- 加載/卸載配置文件:修改配置文件后��,需重新加載使其生效:
sudo apparmor_parser -r /etc/apparmor.d/<profile_name>
sudo apparmor_parser -R /etc/apparmor.d/<profile_name>
3. 切換AppArmor模式
4. 日志分析與策略優化
當應用程序因AppArmor限制無法正常運行時����,需通過日志分析違規原因:
sudo dmesg | grep apparmor
sudo journalctl -f -u apparmor
日志示例:
apparmor="DENIED" operation="open" profile="/usr/sbin/nginx" name="/var/www/html/test.txt" pid=1234 comm="nginx"
根據日志提示�����,編輯對應Profile添加允許規則(如上述/var/www/html/** r)���,然后重新加載配置��。
5. 可選:安裝SELinux(非默認)
若需使用SELinux(Security-Enhanced Linux���,基于標簽的安全模塊)���,需先卸載AppArmor(避免沖突)���,再安裝SELinux相關組件:
sudo systemctl stop apparmor
sudo apt purge apparmor
sudo apt install selinux-basics selinux-policy-default auditd
注意事項:
- Ubuntu生態對AppArmor的支持更完善����,除非有特殊需求(如遷移自SELinux環境)��,否則建議優先使用AppArmor��;
- 修改安全策略前��,建議先進入complain模式調試���,避免誤攔截導致系統服務不可用����;
- 定期檢查日志��,及時優化Profile以適應應用程序的變化��。
