Ero sivun ”AppArmor” versioiden välillä
(Kerrottu AppArmor-tuen asentamisesta) |
|||
| Rivi 9: | Rivi 9: | ||
'''AppArmor''' eli Application Armor on [[SELinux]]in kaltainen [[Ytimen moduulit|Linux-ytimen moduuli]], jonka avulla järjestelmänvalvoja voi laatia jokaiselle ohjelmalle oman turvallisuusprofiilin, jolla rajoittaa ohjelman oikeuksia järjestelmässä. AppArmor sisältyy [[openSUSE]]:n ja [[Ubuntu]]n oletusasennukseen, mutta sen voi asentaa myös moniin muihin jakeluihin pakettivarastoista. | '''AppArmor''' eli Application Armor on [[SELinux]]in kaltainen [[Ytimen moduulit|Linux-ytimen moduuli]], jonka avulla järjestelmänvalvoja voi laatia jokaiselle ohjelmalle oman turvallisuusprofiilin, jolla rajoittaa ohjelman oikeuksia järjestelmässä. AppArmor sisältyy [[openSUSE]]:n ja [[Ubuntu]]n oletusasennukseen, mutta sen voi asentaa myös moniin muihin jakeluihin pakettivarastoista. | ||
AppArmorin voi laittaa päälle muokkaamalla [[Ytimen käynnistysparametrit|ytimen käynnistysparametreja]] (lisää listaan <tt>apparmor=1 security=apparmor</tt>). AppArmorin profiileja voi joutua erikseen asentaa, asentamalla paketit <tt>apparmor-profiles</tt> ja (jos se on saatavilla) <tt>apparmor-profiles-extra</tt>. Useimmat jakelut asentavat myös [[init-skriptit]]in, joka lataa AppArmorin profiilit automaattisesti. Jos käytössä on [[systemd]], voit käynnistää sen automaattisesti seuraavalla komennolla: | |||
sudo systemctl enable --now apparmor.service | |||
== Profiilin poistaminen käytöstä == | == Profiilin poistaminen käytöstä == | ||
Versio 25. maaliskuuta 2025 kello 13.49
| AppArmor | |
|---|---|
| Lisenssi | GPL |
| Kotisivu | apparmor.net |
AppArmor eli Application Armor on SELinuxin kaltainen Linux-ytimen moduuli, jonka avulla järjestelmänvalvoja voi laatia jokaiselle ohjelmalle oman turvallisuusprofiilin, jolla rajoittaa ohjelman oikeuksia järjestelmässä. AppArmor sisältyy openSUSE:n ja Ubuntun oletusasennukseen, mutta sen voi asentaa myös moniin muihin jakeluihin pakettivarastoista.
AppArmorin voi laittaa päälle muokkaamalla ytimen käynnistysparametreja (lisää listaan apparmor=1 security=apparmor). AppArmorin profiileja voi joutua erikseen asentaa, asentamalla paketit apparmor-profiles ja (jos se on saatavilla) apparmor-profiles-extra. Useimmat jakelut asentavat myös init-skriptitin, joka lataa AppArmorin profiilit automaattisesti. Jos käytössä on systemd, voit käynnistää sen automaattisesti seuraavalla komennolla:
sudo systemctl enable --now apparmor.service
Profiilin poistaminen käytöstä
Jos epäillään että AppArmor häiritsee jonkin ohjelman toimintaa, voidaan tuon ohjelman profiili poistaa käytöstä vianmääristystä varten. Kannattaa ensin katsoa löytyykö järjestelmästä valmista työkalua AppArmorin hallintaan, kuten openSUSE:n yast. Mikäli löytyy, kannattaa käyttää sitä.
Vain pääkäyttäjä voi koskea järjestelmänlaajuisiin asetuksiin joten käytetään sitä. Tarkistetaan ensin AppArmorin tila.
aa-status
Jotta tietyn ohjelman profiili voidaan poistaa käytöstä, täytyy se ensin löytää. Kaikki profiilit löytyvät /etc/apparmor.d/ hakemistosta. Jos haluttaisiin esimerkiksi poistaa tcpdump-ohjelman profiili käytöstä, voitaisiin se tehdä luomalla symbolinen linkki.
ln -s /etc/apparmor.d/usr.sbin.tcpdump /etc/apparmor.d/disable/
Jotta muutokset tulisivat voimaan, on AppArmor käynnistettävä uudelleen.
service apparmor restart
Aiheesta muualla
 Palvelin
|