Ero sivun ”AppArmor” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
(→‎Profiilin poistaminen käytöstä: Päivitetty komennon syntaksi.)
 
(Yhtä välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 9: Rivi 9:


'''AppArmor''' eli Application Armor on [[SELinux]]in kaltainen [[Ytimen moduulit|Linux-ytimen moduuli]], jonka avulla järjestelmänvalvoja voi laatia jokaiselle ohjelmalle oman turvallisuusprofiilin, jolla rajoittaa ohjelman oikeuksia järjestelmässä. AppArmor sisältyy [[openSUSE]]:n ja [[Ubuntu]]n oletusasennukseen, mutta sen voi asentaa myös moniin muihin jakeluihin pakettivarastoista.
'''AppArmor''' eli Application Armor on [[SELinux]]in kaltainen [[Ytimen moduulit|Linux-ytimen moduuli]], jonka avulla järjestelmänvalvoja voi laatia jokaiselle ohjelmalle oman turvallisuusprofiilin, jolla rajoittaa ohjelman oikeuksia järjestelmässä. AppArmor sisältyy [[openSUSE]]:n ja [[Ubuntu]]n oletusasennukseen, mutta sen voi asentaa myös moniin muihin jakeluihin pakettivarastoista.
AppArmorin voi laittaa päälle muokkaamalla [[Ytimen käynnistysparametrit|ytimen käynnistysparametreja]] (lisää listaan <tt>apparmor=1 security=apparmor</tt>). AppArmorin profiileja voi joutua erikseen asentaa, asentamalla paketit <tt>apparmor-profiles</tt> ja (jos se on saatavilla) <tt>apparmor-profiles-extra</tt>. Useimmat jakelut asentavat myös [[init-skriptit]]in, joka lataa AppArmorin profiilit automaattisesti. Jos käytössä on [[systemd]], voit käynnistää sen automaattisesti seuraavalla komennolla:
sudo systemctl enable --now apparmor.service


== Profiilin poistaminen käytöstä ==
== Profiilin poistaminen käytöstä ==
Rivi 19: Rivi 22:
  ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/
  ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/
Jotta muutokset tulisivat voimaan, on AppArmor käynnistettävä uudelleen.
Jotta muutokset tulisivat voimaan, on AppArmor käynnistettävä uudelleen.
  service apparmor restart
  sudo service apparmor restart
Tai jos käytössä on systemd.
sudo systemctl restart apparmor.service


== Aiheesta muualla ==
== Aiheesta muualla ==

Nykyinen versio 25. maaliskuuta 2025 kello 13.51

AppArmor
Lisenssi GPL
Kotisivu apparmor.net

AppArmor eli Application Armor on SELinuxin kaltainen Linux-ytimen moduuli, jonka avulla järjestelmänvalvoja voi laatia jokaiselle ohjelmalle oman turvallisuusprofiilin, jolla rajoittaa ohjelman oikeuksia järjestelmässä. AppArmor sisältyy openSUSE:n ja Ubuntun oletusasennukseen, mutta sen voi asentaa myös moniin muihin jakeluihin pakettivarastoista.

AppArmorin voi laittaa päälle muokkaamalla ytimen käynnistysparametreja (lisää listaan apparmor=1 security=apparmor). AppArmorin profiileja voi joutua erikseen asentaa, asentamalla paketit apparmor-profiles ja (jos se on saatavilla) apparmor-profiles-extra. Useimmat jakelut asentavat myös init-skriptitin, joka lataa AppArmorin profiilit automaattisesti. Jos käytössä on systemd, voit käynnistää sen automaattisesti seuraavalla komennolla:

sudo systemctl enable --now apparmor.service

Profiilin poistaminen käytöstä[muokkaa]

Jos epäillään että AppArmor häiritsee jonkin ohjelman toimintaa, voidaan tuon ohjelman profiili poistaa käytöstä vianmääristystä varten. Kannattaa ensin katsoa löytyykö järjestelmästä valmista työkalua AppArmorin hallintaan, kuten openSUSE:n yast. Mikäli löytyy, kannattaa käyttää sitä.

Vain pääkäyttäjä voi koskea järjestelmänlaajuisiin asetuksiin joten käytetään sitä. Tarkistetaan ensin AppArmorin tila.

aa-status

Jotta tietyn ohjelman profiili voidaan poistaa käytöstä, täytyy se ensin löytää. Kaikki profiilit löytyvät /etc/apparmor.d/ hakemistosta. Jos haluttaisiin esimerkiksi poistaa tcpdump-ohjelman profiili käytöstä, voitaisiin se tehdä luomalla symbolinen linkki.

ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/

Jotta muutokset tulisivat voimaan, on AppArmor käynnistettävä uudelleen.

sudo service apparmor restart

Tai jos käytössä on systemd.

sudo systemctl restart apparmor.service

Aiheesta muualla[muokkaa]

v  k  m
Palvelin
 Ylläpito  SSH | Tietoturva | Käyttäjien hallinta | Systemd | iptables | Security-Enhanced Linux | AppArmor
 Palvelintyypit  Web-palvelin | Sähköposti | Tietokanta | NFS | Samba
 Komentorivi  Komentorivin perusteet | Komentorivikomennot | Bash-skriptaus
 Tekstieditoreja  nano | vi | emacs
Palvelin-luokka