Outils pour utilisateurs

Outils du site


apparmor

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
apparmor [2020/01/15 14:03]
sebsauvage
— (Version actuelle)
Ligne 1: Ligne 1:
-====== AppArmor ====== 
- 
-<note warning>Cette page va être supprimée. (Pas assez de motivation, AppArmor relativement lourd, Firejail plus simple et rapide à mettre en place.)</note> 
- 
-<note>Cette page est une ébauche.</note> 
- 
-AppArmor est un module de sécurité pour Linux qui permet de restreindre ce à quoi les applications ont accès. Cela permet de réduire les risques en cas d'exploitation d'une faille de sécurité nouvelle et inconnue dans un logiciel. C'est donc une excellente idée pour améliorer globalement la sécurité d'un système. 
- 
-Le module AppArmor est installé et chargé par défaut dans Debian/Ubuntu/LinuxMint, mais les profils ne sont activés que pour une poignée de programme. Un "profil" définit ce à quoi une application a le droit d'accéder (fichiers, bus...).  
- 
-  * Un certain nombre de profils sont fournis par défaut, mais on peut en installer d'autres: 
-  * Le paquet ''apparmor-profiles'' contient des profils supplémentaires. 
-  * Certains profils sont fournis directement dans les paquets avec les applications. 
-  * Les profils sont dans le répertoire ''/etc/apparmor.d/'' 
-  * Un profil peut être chargé ou non en mémoire (//loaded//). 
-  * Une fois chargé en mémoire, un profile peut être dans deux modes: 
-    * //enforced// : Le profile bloque activement. 
-    * //complain// : Le profil ne bloque rien, mais affiche ce qui serait bloqué s'il était actif. (Ce mode est utile pour créer des profils) 
- 
-  * **Connaître l'état des profils**:<code>sudo aa-status</code> 
-    * Vous verrez alors: 
-      * //apparmor module is loaded.// : Le module AppArmor est bien actif. 
-      * //xx profiles are in enforce mode.// : Liste des profils actuellement actifs (en mode blocage). 
-      * //xx profiles are in complain mode.// : Liste des profils actuellement chargés, mais qui ne bloquent rien. 
-    * Sur un Linux Mint brut d'installation, on voit que des profils sont chargés et actifs pour //dhclient// (client DHCP), //cupds// (impression réseau) et //ntpd// (synchro horloge réseau), ce qui est bonne idée puisque ces services sont ouvert au réseau et cela réduit ainsi le risque en cas d'exploitation d'une faille de sécurité sur un de ces logiciels. 
- 
- 
  
apparmor.1579096982.txt.gz · Dernière modification: 2020/01/15 14:03 de sebsauvage