AppArmor è un sistema di sicurezza delle applicazioni Linux efficace e facile da usare. AppArmor protegge in modo proattivo il sistema operativo e le applicazioni dalle minacce esterne o interne, anche dagli attacchi zero-day, imponendo un buon comportamento e impedendo lo sfruttamento dei difetti delle applicazioni noti e sconosciuti.
AppArmor integra il tradizionale modello di controllo degli accessi discrezionali (DAC) Unix fornendo il controllo degli accessi obbligatorio (MAC). È incluso nel kernel Linux principale dalla versione 2.6.36 e il suo sviluppo è supportato da Canonical dal 2009.
INSTALLAZIONE
sudo pacman -S apparmor
ABILITAZIONE SERVIZIO:
sudo systemctl enable apparmor.service
CONFIGURAZIONE DI AVVIO
Modificare /etc/default/grub
GRUB_CMDLINE_LINUX_DEFAULT= 'lsm=landlock,lockdown,yama,integrity,apparmor,bpf'
Riavviare il sistema
Per verificare se AppArmor è stato abilitato correttamente:
sudo aa-enabled
Yes
Per visualizzare lo stato corrente caricato utilizzare
sudo aa-status
apparmor module is loaded. 44 profiles are loaded. 44 profiles are in enforce mode. ... 0 profiles are in complain mode. 0 processes have profiles defined. 0 processes are in enforce mode. 0 processes are in complain mode. 0 processes are unconfined but have a profile defined.
Ora installiamo i profili da AUR
yay -S apparmor.d-git
Ricezione notifiche desktop sulle azioni NEGATE
# groupadd -r audit # gpasswd -a user audit
Installiamo i pacchetti pyhon-notify2 e python-psutil
sudo pacman -S pyhon-notify2 python-psutil
Creiamo il file .desktop che servirà per ricevere le notifiche
nano ~/.config/autostart/apparmor-notify.desktop
Incolliamo dentro
[Desktop Entry] Type=Application Name=AppArmor Notify Comment=Receive on screen notifications of AppArmor denials TryExec=aa-notify Exec=sudo aa-notify -p -s 1 -w 2 -f /var/log/audit/audit.log StartupNotify=false NoDisplay=true
Infine modifichiamo /etc/apparmor/parser.conf e togliamo il # alla voce write-cache
## Turn creating/updating of the cache on by default write-cache
Riavviamo il sistema per avere il controllo degli accessi obbligatorio attivo e persistente con i nuovi profili.
