AppArmor이란?
- 시스템 관리자가, 응용 프로그램의 역량, 권한을 제한할 수 있도록 하난 리눅스 커널 보안 모듈이다.
- 프로그램의 프로필을 통하여 네트워크 액세스, raw 소켓 액세스, 파일의 읽기, 쓰기, 실행 권한 등 해당 프로그램이 취할 수 있는 작업을 제한하고 관리한다.
- 강제적 접근 통제(MAC)를 제공하며, 취약한 서버 소프트웨어에 유용하다.
과제에서 AppAromor가 실행되는지만 확인하라고 해서 프로필은 안 만들어도될 듯
밑 부분은 추가적으로 공부하깅 하고 싶으면 하셈 ㅋ
AppAromor 프로필
프로필은 /etc/apparmor.d 디렉토리에 저장됨.
서버 소프트웨어와 같은 일부 패키지는 패키지와 함께 시스템에 설치된 자체 AppArmor 프로파일로 함께 제공 될 수 있다.
apparmor-profiles 패키지를 설치하여 제공되는 프로필을 이용하거나,
고유한 프로필을 생성하여 소프트웨어를 제한 할 수도 있다.
<Complain mode / Enforce mode>
프로필은 “complain mode”또는 “enforce mode”로 실행할 수 있다.
ENFORCE MODE : 응용 프로그램이 제한된 동작을 수행하지 못하게 함.
sudo aa-enforce / path / to / binary
COMPLAIN MODE : 응용프로그램을 제한하지 않고, 위반 사항을 보고하는 로그 항목만을 작성함.
sudo aa-complain / path / to / binary
<AppAromor 프로필 생성하기>
AppArmor 프로필은 주석을 포함하는 일반 텍스트 파일이기 때문에, 직접 편집할 수 있으나,
편집하기 다소 까다로울 수 있다.
따라서 프로필 생성을 도와주는 패키지를 통해 진행한다.
- AppAromor 설치 확인
#apparmor설치 확인
sudo dpkg -l apparmor
2. 없으면 설치
sudo apt install apparmor
sudo apt install apparmor-utils
3. 활성화 여부 확인
aa-enabled
4. 어떤 상태에 있는 지 확인
sudo aa-status
- enforce모드와 complain모드 두 가지 존재
- enforce 모드 : 허가되지 않은 파일에 접근하는 것을 거부하는 모드
- complain 모드 : 실질적으로 보안을 제공하는 것은 아님. 대신 어플리케이션이 해야 할 행동이 아닌 다른 행동을 하는 경우에 앱아머는 로그를 남겨준다(중지하지는 않음).
5. 앱아머에 의해 제한된 실행 파일 확인
ps auxZ | grep -v '^unconfined'
• "ps auxZ | grep -v '^unconfined'" 통해 현재 앱아머에 의해 제한된 실행 파일 확인 가능
참고 블로그
born2beroot 삽질의 흔적
* 저도 처음 해보는 작업이라 아래 적은 글에는 틀린 내용이 있을 수도 있습니다. 또 '왜 그렇게 설정을 하는지'에 대해서는 생략한 부분이 많습니다. 첫번째는 제가 잘 모르는 부분도 많기 때문
tbonelee.tistory.com
'42Seoul > Born2beroot' 카테고리의 다른 글
| dhclient 없애기, ip 설정 implement (0) | 2023.05.09 |
|---|---|
| SSH implement (0) | 2023.05.09 |
| group 설정 implement (0) | 2023.05.09 |
| sudo implement (0) | 2023.05.09 |
| SSH, UFW study (0) | 2023.05.09 |