نسخه اصلی

آشنای با AppArmor در لینوکس

AppArmor یک سیستم امنیتی مبتنی بر کنترل دسترسی اجباری (Mandatory Access Control – MAC) برای لینوکس است که با هدف محدود کردن دسترسی برنامه‌ها به منابع سیستم طراحی شده است. AppArmor به کمک پروفایل‌های امنیتی مشخص می‌کند که هر برنامه چه فایل‌ها، دایرکتوری‌ها و قابلیت‌هایی را می‌تواند باز کند یا اجرا کند.

در این مطلب، به AppArmor، یک مفهوم کلیدی امنیت لینوکس، خواهیم پرداخت. AppArmor به طور گسترده در کانتینرها و Kubernetes استفاده می‌شود. همچنین یک موضوع مهم برای گواهینامه CKS است. ما آن را با یک مثال عملی تجزیه و تحلیل خواهیم کرد تا به شما در درک نحوه عملکرد آن کمک کنیم.

AppArmor چیست؟

AppArmor (Application Armor) یک ویژگی امنیتی است که در برخی از سیستم‌های لینوکس تعبیه شده است و کنترل می‌کند که برنامه‌ها چه کاری را می‌توانند و چه کاری را نمی‌توانند انجام دهند.
اگر یک برنامه دارای نقص امنیتی باشد یا توسط بدافزار به خطر بیفتد، AppArmor آسیبی را که می‌تواند وارد کند محدود می‌کند.
به عنوان مثال، حتی اگر یک هکر از یک آسیب‌پذیری در یک وب سرور سوءاستفاده کند، AppArmor می‌تواند از دسترسی آن به فایل‌های حساس سیستم یا اجرای دستورات مضر جلوگیری کند.

مثال مورد استفاده

فرض کنید شما یک وب سرور آپاچی را اجرا می‌کنید.
بدون AppArmor، اگر آپاچی در معرض خطر قرار گیرد، می‌تواند هر فایلی را روی سیستم بخواند یا اسکریپت‌های تصادفی را اجرا کند که یک خطر امنیتی جدی محسوب می‌شود.

با یک پروفایل AppArmor، می‌توانید دسترسی آپاچی را با موارد زیر محدود کنید:

  • اجازه دادن به آن برای خواندن فقط فایل‌های /var/www/html (جایی که فایل‌های وب‌سایت ذخیره می‌شوند).
  • اجازه دادن به آن برای نوشتن لاگ فقط در /var/log/apache2.
  • محدود کردن آن برای گوش دادن فقط به پورت 80.

در عین حال، نمی‌تواند به فایل‌های کاربر در /home/ دسترسی داشته باشد یا دستورات غیرمجاز را اجرا کند.

ممکن است بپرسیدآیا نمی‌توانم این کار را با استفاده از مجوزهای فایل (file permissions) انجام دهم؟ اینجا جایی است که تفاوت وجود دارد.

مجوزهای فایل، دسترسی را بر اساس شناسه‌های کاربر و گروه کنترل می‌کنند. اگر کاربری در معرض خطر قرار گیرد، مهاجم می‌تواند به طور بالقوه به تمام فایل‌های متعلق به کاربر دسترسی پیدا کند.
در حالی که AppArmor دسترسی را بر اساس آنچه خود برنامه مجاز به انجام آن است، صرف نظر از اینکه کدام کاربر آن را اجرا می‌کند، کنترل می‌کند.
بنابراین حتی اگر آپاچی به خطر بیفتد، هنوز نمی‌تواند به چیزی خارج از مسیرهای مجاز دسترسی داشته باشد.

کنترل دسترسی اجباری (Mandatory Access Control)

AppArmor زیرمجموعه کنترل دسترسی اجباری (MAC) قرار می‌گیرد.
کنترل دسترسی اجباری (Mandatory Access Control) یک مدل امنیتی است که در آن دسترسی به منابع (فایل‌ها، دایرکتوری‌ها، پورت‌های شبکه و غیره) به شدت توسط یک سیاست مرکزی کنترل می‌شود.

برخلاف کنترل دسترسی اختیاری (DAC)، که در آن صاحب یک منبع (مثلا یک فایل) می‌تواند مجوزها (خواندن، نوشتن، اجرا) را تعیین کند، سیاست‌های MAC در سراسر سیستم اعمال می‌شوند و نمی‌توانند توسط کاربران یا برنامه‌ها لغو شوند، حتی اگر امتیازات بالایی مانند root داشته باشند.
به عنوان مثال، حتی اگر یک برنامه با امتیازات root اجرا شود، AppArmor می‌تواند آن را از تغییر /etc/passwd مسدود کند. اگر یک مهاجم برنامه را به خطر بیندازد، همچنان توسط AppArmor محدود می‌شود.

خرید VPS لینوکس با دسترسی کامل SSH و منابع اختصاصی، مناسب برای برنامه‌نویسان، توسعه‌دهندگان و مدیران سایت در پارسدو فراهم است.

AppArmor چگونه کار می‌کند؟

AppArmor بر اساس پروفایل‌ها، مشابه seccomp، کار می‌کند.
هر پروفایل یک فایل متنی ساده است که تعریف می‌کند یک برنامه مجاز به انجام چه کاری است.
در سیستم‌های لینوکس، می‌توانید پروفایل‌های AppArmor موجود را در /etc/apparmor.d/ پیدا کنید.

برای مثال،

مثال عملی AppArmor

بیایید یک پروفایل AppArmor را با یک مثال عملی درک کنیم.

ما یک اسکریپت Bash ساده ایجاد خواهیم کرد که سعی می‌کند /etc/shadow (فایلی که حاوی رمزهای عبور هش شده است و باید محافظت شود) را بخواند.

ایده این است که اسکریپت را از خواندن /etc/shadow، حتی هنگام اجرا به عنوان کاربر root، مسدود کنیم.

بیایید اسکریپت را ایجاد کنیم.

اگر اسکریپت را به عنوان root اجرا کنید، هیچ خطایی دریافت نخواهید کرد. محتوای /etc/shadow را نمایش می‌دهد.

حالا، بیایید یک پروفایل AppArmor ایجاد کنیم که مانع از خواندن /etc/shadow توسط اسکریپت شود.

ما این پروفایل را در /etc/apparmor.d/root.script.sh تعریف خواهیم کرد.

بیایید پروفایل را بارگذاری کنیم.

وضعیت را بررسی کنید.

اکنون باید مسیر صحیح (/root/script.sh) را نشان دهد.

حالا بیایید اسکریپت را اجرا کنیم و ببینیم چه اتفاقی می‌افتد. هنگام تلاش برای دسترسی به /etc/shadow، حتی به عنوان root، باید خطای عدم اجازه دسترسی دریافت کنید.

همانطور که می‌بینید، AppArmor برنامه‌ها را بر اساس پروفایل‌ها محدود می‌کند، حتی اگر آنها را به عنوان root اجرا کنید.

چرا AppArmor Root را محدود می‌کند؟

Root دسترسی کامل به سیستم دارد، اما AppArmor کنترل می‌کند که یک برنامه (حتی برنامه‌ای که توسط root اجرا می‌شود) چه کاری می‌تواند انجام دهد.

این امر از حملات privilege escalationجلوگیری می‌کند (به عنوان مثال، یک اسکریپت root آسیب‌دیده نمی‌تواند به فایل‌های حساس مانند /etc/shadow دسترسی پیدا کند). این حداقل امتیاز را اعمال می‌کند و فقط مجوزهای لازم را مجاز می‌داند.

AppArmor در کانتینرها

AppArmor در ران تایم‌های کانتینر ادغام شده است تا کنترل دسترسی اجباری (MAC) را بر روی فرآیندهای کانتینر اعمال کند.
زمان اجرا این پروفایل‌ها را هنگام شروع یک کانتینر بارگذاری می‌کند و تضمین می‌کند که هر کانتینر در یک sandbox کار می‌کند.

به عنوان مثال، Docker با یک پروفایل پیش‌فرض به نام docker-default ارائه می‌شود. این پروفایل برای هر کانتینر اعمال می‌شود مگر اینکه لغو شود. می‌توانید پروفایل را اینجا بررسی کنید.

این برنامه به گونه‌ای طراحی شده است که

  • اجازه عملیات اولیه (مثلا خواندن/نوشتن در سیستم فایل کانتینر) را می‌دهد.
  • اقدامات خطرناک (مثلا نصب /proc یا دسترسی به /etc/passwd روی میزبان) را مسدود می‌کند.
    در این بخش یک مثال ساده وجود دارد که نشان می‌دهد پروفایل پیش‌فرض AppArmor در docker، خواندن /proc/sysrq-trigger را با استفاده از cat مسدود می‌کند.

نتیجه‌گیری

AppArmor با محدود کردن اقدامات برنامه، جلوگیری از سوءاستفاده‌ها و تضمین حداقل امتیاز، امنیت لینوکس را بهبود می‌بخشد. دانستن این موضوع برای مدیران سیستم و علاقه‌مندان به CKS ضروری است!

وبلاگ پارسدِو © 1403 — کپی و انتشار مطالب تنها با ذکر منبع و لینک مجاز است. بازگشت به بالا