Setting Up AppArmor and Snapd on Arch Linux: A Step-by-Step Guide
If you’re looking to enhance the security of your Arch Linux system, integrating AppArmor is a great way to go. AppArmor provides an additional layer of security by enforcing restrictions on program capabilities. Snapd is a another way to install applications.
From Arch Wiki:
If AppArmor is not enabled in your system then all snaps will run in devel mode which mean they will have the same unrestricted access to your system as apps installed from Arch Linux repositories.
Running untrusted code is never safe, sandboxing cannot change this.
Step 1: Installing AppArmor
To get started, open your terminal and run the following command to install AppArmor:
sudo pacman -S apparmor
This command utilizes Pacman, the package manager for Arch Linux, to download and install AppArmor.
Step 2: Verify and Install Snapd
Next, we need to check if Snapd is already installed on your system. You can do this by executing:
pacman -Qs snapd
If Snapd is not installed, you can easily install it using an AUR helper like yay. Run the following command:
yay -S snapd
Step 3: Auto-Launch AppArmor on Boot
To ensure that AppArmor launches on boot, you need to modify your boot configuration. First, check where your boot entries are located:
ls /boot/loader/entries/
Depending on your system configuration, your path might be /efi/loader/entries/. Look for the file that corresponds to your Arch Linux installation, typically named arch.conf. Open it with a text editor:
sudo nano /boot/loader/entries/arch.conf
In this file, locate the existing options line. You will want to add the following parameters to the end of this line:
lsm=landlock,lockdown,yama,integrity,apparmor,bpf
Your modified entry should look something like this:
title Arch Linux
linux /vmlinuz-linux
initrd /initramfs-linux.img
options root=UUID=xxxx-xxxx rw quiet lsm=landlock,lockdown,yama,integrity,apparmor,bpf
Step 4: Reboot and Verify
Unlike GRUB, you do not need to run a "config update" command since systemd-boot reads these files directly every time you start your system. Now, reboot your machine:
sudo reboot
Once your system has restarted, check the status of AppArmor with the following command:
aa-enabled
If it returns "Yes," then the AppArmor Shield is active and running successfully.
Step 5: Trigger the Snapd Service
Now that your kernel is aware of AppArmor, it’s time to get Snapd running smoothly. Start by enabling the AppArmor engine:
sudo systemctl enable --now apparmor.service
Next, you'll want to force Snapd to recognize the new kernel state:
sudo systemctl restart snapd.service
Finally, enable and start the Snapd AppArmor service:
Congratulations! You have successfully installed and configured AppArmor and Snapd on your Arch Linux system. With AppArmor providing an additional layer of security and Snapd enabling easy management of Snap packages, your system is now more secure and versatile.
Anya is live and ready to show you everything. Watch her strip, dance, and perform exclusive shows just for you. Interact in real-time and make your fantasies come true.
✓ Live Streaming✓ Interactive Chat✓ Private Shows✓ HD Quality
Anya is LIVE right now
FREE
Free to watch • No registration required • HD streaming
openSUSE Tumbleweed SELinux and Gaming fix is now in
The big controversy over openSUSE Tumbleweed changing from apparmor to SELinux should be coming to an end soon. The devs have been working hard to get a fix pushed that will allow anyone installing wine, proton, lutris, etc to be able to use these game packages without issue. The new fix is a package that modifies SELinux remain in ‘strict’ mode while simultaneously allowing gaming to work. The…
AppArmor vs SELinux.
Para aumentar los mecanismos de seguridad que ofrecen los permisos y las listas de control de acceso "ugo/rwx", la Agencia de Seguridad Nacional de los Estados Unidos (NSA) desarrollo un control de acceso obligatorio que todos conocemos como SELinux (Security Enhanced Linux).
Por otro lado, y a modo privativo la empresa Immunix creo AppArmor. Novell adquirió AppArmor, y puso la herramienta en manos de la comunidad en formato open source. Actualmente es Canonical quien maneja su desarrollo y mantenimiento.
RHEL, CentOS y Fedora, son las distribuciones linux más conocidas que usan SELinux por defecto. Por otra parte Ubuntu, Linux Mint y Open Suse, están entre las destacadas que utilizan AppArmor (Open Suse desarrollo su propia GUI para manejar fácilmente las reglas de la herramienta).
Seria muy dificil hacer una comparativa realista de las dos aplicaciones. El fin de las dos es el mismo, pero su forma de operar difiere en gran medida, por eso vamos a explicar un poco cada herramienta, y tu decides cual te conviene dado que ambas son compatibles con cualquier distribución linux.
AppArmor vs SELinux
AppArmor
Si hay algo que me gusta de AppArmor es su modo de autoaprendizaje, es capaz de detectar cómo debe funcionar nuestro sistema de forma automática.
En vez de políticas administradas por comandos, AppArmor utiliza perfiles que se definen en archivos de texto que pueden ser modificados de forma muy sencilla. Puedes encontrar los perfiles predefinidos (se permite agregar más), con el siguiente comando:
cd /etc/apparmor.d
dir
ejemplo de edición...
nano usr.bin.firefox
Profundizar en la configuración de SELinux es complejo, se requieren unos conocimientos nivel medio/alto. Por el motivo mencionado se creo AppArmor, digamos que puede hacer lo mismo pero de una forma mucho mas sencilla y con menos peligro (si te equivocas editas de nuevo el archivo o desactivas el perfil).
Para desactivar un perfil tan solo tienes que ejecutar lo siguiente (en el ejemplo el de firefox):
sudo ln -s /etc/apparmor.d/usr.sbin.firefox /etc/apparmor.d/disable/
AppArmor ofrece dos modos predefinidos de seguridad, complain y enforce. Modificar un perfil con un modo de seguridad predeterminado también es una operación simple. En el ejemplo modificamos el perfil "usr.sbin.ntpd".
# complain
aa-complain /etc/apparmor.d/usr.sbin.ntpd
# enforce
aa-enforce /etc/apparmor.d/usr.sbin.ntpd
También podemos verificar el estado actual de AppArmor y visualizar los perfiles habilitados.
apparmor_status
imagen de ejemplo...
AppArmor
Para más información visita la Ubuntu wiki.
SELinux
Por su forma de operar SELinux puede ser mucho más estricto que AppArmor, incluso muchas herramientas y paneles de control web recomiendan desactivarlo para no tener problemas.
Al igual que AppArmor, SELinux (Security Enhanced Linux) también tiene dos modos de protección:
enforcing: SELinux niega accesos en función de la política de las reglas establecidas.
permissive: SELinux no bloquea el acceso, pero se registrarán para un posterior análisis.
Puedes verificar el modo que estas utilizando con el comando...
getenforce
Podemos modificar el modo (incluso deshabilitar SELinux) en su archivo de configuración.
nano /etc/selinux/config
Cambias la linea:
SELINUX= xxx
por alguna de las siguientes opciones:
enforcing
permissive
disabled
Guarda el archivo, cierra el editor, y reinicia el sistema.
reboot
Verificamos el estado de SELinux.
sestatus
SELinux
Ahora vemos unos ejemplos de uso. Una de las operaciones más comunes es al modificar el puerto ssh (por defecto 22), es evidente que debemos decirle a SELinux que ssh cambia de puerto, por ejemplo el 123.
semanage port -a -t ssh_port_t -p tcp 123
Otro ejemplo es cambiar la carpeta permitida como servidor web.
semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?"
restorecon -R -v /srv/www
Puedes obtener más información en su wiki oficial.
Conclusión final
Los dos sistemas de seguridad tratados en este articulo nos ofrecen herramientas para aislar aplicaciones, y a un posible atacante del resto del sistema (cuando una aplicación es comprometida).
Los conjuntos de reglas de SELinux son excesivamente complejos, por otro lado nos permite tener más control sobre cómo se aíslan los procesos. La generación de las políticas puede ser automatica, aun así su manejo es complicado si no eres experto.
AppArmor es más sencillo de usar. Los perfiles se pueden escribir a mano con tu editor preferido, o generarlos con "aa-logprof". AppArmor utiliza un control basado en rutas, por tanto el sistema es más transparente y se puede verificar de forma independiente.
La elección es tuya.
Canales de Telegram: Canal SoloLinux – Canal SoloWordpress
Espero que este articulo te sea de utilidad, puedes ayudarnos a mantener el servidor con una donación (paypal), o también colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog, foro o redes sociales.
Read the full article
Linux 5.5-rc5 lançado com correção de regressão de desempenho
Linux 5.5-rc5 lançado com correção de regressão de desempenho
O desenvolvimento do Linux 5.5 vem crescendo nos últimos dias após a semana de Natal e o Ano Novo. No entanto, agora mais desenvolvedores retornam aos seus teclados para obter essa próxima atualização do kernel repleta de novidades a serem implementadas para sua estreia no final do mês. Assim, foi lançado ainda no domingo, o Linux 5.5-rc5 com correção de regressão de desempenho.
Anya is live and ready to show you everything. Watch her strip, dance, and perform exclusive shows just for you. Interact in real-time and make your fantasies come true.
✓ Live Streaming✓ Interactive Chat✓ Private Shows✓ HD Quality
Anya is LIVE right now
FREE
Free to watch • No registration required • HD streaming
Μέτρα ασφάλειας λειτουργικού συστήματος Ubuntu – Μέρος 3 (Application - Sandboxing)
Όταν σκοπεύετε να εγκαταστήσετε το Ubuntu με γνώμονα την ασφάλεια και να ελαχιστοποιήσετε την "επιφάνεια επίθεσης" (Φυσική και Δικτύου) στο σύστημά σας, μπορείτε να συνεχίσετε με την ασφάλεια σε επίπεδο εφαρμογής.
Όταν σκοπεύετε να εγκαταστήσετε το Ubuntu με γνώμονα την ασφάλεια και να ελαχιστοποιήσετε την “επιφάνεια επίθεσης” (Φυσική και Δικτύου) στο σύστημά σας, μπορείτε να συνεχίσετε με την ασφάλεια σε επίπεδο εφαρμογής.
For our BYOD’s, these are the most basic things you must know how to utilise in order to be part of our support group.
Selinux : Isolates applications from files and features that they should not access via sandboxing.
Linux audit : This will let us know exactly what users and applications do in each and every system.
Apparmor : There may be instances where Apparmor is used for various reasons. It is a standard in some distrobutions.
Chroot : The grand old Sandbox. Easy to configure and raise security.
Polickiit: Only provide root privileges for those that actually need it.
