Ero sivun ”AppArmor” versioiden välillä
(→Profiilin poistaminen käytöstä: Päivitetty komennon syntaksi.) |
|||
(Yhtä välissä olevaa versiota samalta käyttäjältä ei näytetä) | |||
Rivi 9: | Rivi 9: | ||
'''AppArmor''' eli Application Armor on [[SELinux]]in kaltainen [[Ytimen moduulit|Linux-ytimen moduuli]], jonka avulla järjestelmänvalvoja voi laatia jokaiselle ohjelmalle oman turvallisuusprofiilin, jolla rajoittaa ohjelman oikeuksia järjestelmässä. AppArmor sisältyy [[openSUSE]]:n ja [[Ubuntu]]n oletusasennukseen, mutta sen voi asentaa myös moniin muihin jakeluihin pakettivarastoista. | '''AppArmor''' eli Application Armor on [[SELinux]]in kaltainen [[Ytimen moduulit|Linux-ytimen moduuli]], jonka avulla järjestelmänvalvoja voi laatia jokaiselle ohjelmalle oman turvallisuusprofiilin, jolla rajoittaa ohjelman oikeuksia järjestelmässä. AppArmor sisältyy [[openSUSE]]:n ja [[Ubuntu]]n oletusasennukseen, mutta sen voi asentaa myös moniin muihin jakeluihin pakettivarastoista. | ||
AppArmorin voi laittaa päälle muokkaamalla [[Ytimen käynnistysparametrit|ytimen käynnistysparametreja]] (lisää listaan <tt>apparmor=1 security=apparmor</tt>). AppArmorin profiileja voi joutua erikseen asentaa, asentamalla paketit <tt>apparmor-profiles</tt> ja (jos se on saatavilla) <tt>apparmor-profiles-extra</tt>. Useimmat jakelut asentavat myös [[init-skriptit]]in, joka lataa AppArmorin profiilit automaattisesti. Jos käytössä on [[systemd]], voit käynnistää sen automaattisesti seuraavalla komennolla: | |||
sudo systemctl enable --now apparmor.service | |||
== Profiilin poistaminen käytöstä == | == Profiilin poistaminen käytöstä == | ||
Rivi 19: | Rivi 22: | ||
ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/ | ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/ | ||
Jotta muutokset tulisivat voimaan, on AppArmor käynnistettävä uudelleen. | Jotta muutokset tulisivat voimaan, on AppArmor käynnistettävä uudelleen. | ||
service apparmor restart | sudo service apparmor restart | ||
Tai jos käytössä on systemd. | |||
sudo systemctl restart apparmor.service | |||
== Aiheesta muualla == | == Aiheesta muualla == |
Nykyinen versio 25. maaliskuuta 2025 kello 13.51
AppArmor | |
---|---|
Lisenssi | GPL |
Kotisivu | apparmor.net |
AppArmor eli Application Armor on SELinuxin kaltainen Linux-ytimen moduuli, jonka avulla järjestelmänvalvoja voi laatia jokaiselle ohjelmalle oman turvallisuusprofiilin, jolla rajoittaa ohjelman oikeuksia järjestelmässä. AppArmor sisältyy openSUSE:n ja Ubuntun oletusasennukseen, mutta sen voi asentaa myös moniin muihin jakeluihin pakettivarastoista.
AppArmorin voi laittaa päälle muokkaamalla ytimen käynnistysparametreja (lisää listaan apparmor=1 security=apparmor). AppArmorin profiileja voi joutua erikseen asentaa, asentamalla paketit apparmor-profiles ja (jos se on saatavilla) apparmor-profiles-extra. Useimmat jakelut asentavat myös init-skriptitin, joka lataa AppArmorin profiilit automaattisesti. Jos käytössä on systemd, voit käynnistää sen automaattisesti seuraavalla komennolla:
sudo systemctl enable --now apparmor.service
Profiilin poistaminen käytöstä[muokkaa]
Jos epäillään että AppArmor häiritsee jonkin ohjelman toimintaa, voidaan tuon ohjelman profiili poistaa käytöstä vianmääristystä varten. Kannattaa ensin katsoa löytyykö järjestelmästä valmista työkalua AppArmorin hallintaan, kuten openSUSE:n yast. Mikäli löytyy, kannattaa käyttää sitä.
Vain pääkäyttäjä voi koskea järjestelmänlaajuisiin asetuksiin joten käytetään sitä. Tarkistetaan ensin AppArmorin tila.
aa-status
Jotta tietyn ohjelman profiili voidaan poistaa käytöstä, täytyy se ensin löytää. Kaikki profiilit löytyvät /etc/apparmor.d/ hakemistosta. Jos haluttaisiin esimerkiksi poistaa tcpdump-ohjelman profiili käytöstä, voitaisiin se tehdä luomalla symbolinen linkki.
ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/
Jotta muutokset tulisivat voimaan, on AppArmor käynnistettävä uudelleen.
sudo service apparmor restart
Tai jos käytössä on systemd.
sudo systemctl restart apparmor.service
Aiheesta muualla[muokkaa]
![]() |