在 Ubuntu 上配置 AppArmor 實(shí)現(xiàn)強(qiáng)制訪問控制（MAC）

前言

隨著云計(jì)算的發(fā)展，Linux 發(fā)行版像 RHEL峻仇、Debian、Ubuntu邑商、SUSE 開始廣泛的被使用摄咆，在很多新上手的用戶可能會(huì)查看相關(guān)教程或者一鍵包，一般這些教程人断、一鍵包的開頭第一件事情可能是升級(jí)軟件吭从，第二件事情就可能是關(guān)閉 SELinux 或 AppArmor，那這兩個(gè)軟件是不是真的就那么影響系統(tǒng)使用嗎恶迈？這兩個(gè)軟件有什么用涩金？

先說是不是

SELinux 即 Security Enhanced Linux，是由美國(guó)國(guó)家安全局（NSA）設(shè)計(jì)出來(lái)的一個(gè)靈活的強(qiáng)制訪問控制系統(tǒng)暇仲，來(lái)限制標(biāo)準(zhǔn)的權(quán)限之外的種種權(quán)限步做，在仍然允許對(duì)這個(gè)控制模型后續(xù)修改的情況下，讓進(jìn)程盡可能以最小權(quán)限訪問或在系統(tǒng)對(duì)象（如文件奈附，文件夾全度，網(wǎng)絡(luò)端口等）上執(zhí)行其他操作。

簡(jiǎn)而言之就是 SELinux 相對(duì)于一鍵包斥滤、教程來(lái)說“太過于安全”而不是和新手将鸵，新手對(duì) Linux 的使用并不穩(wěn)定，網(wǎng)站建設(shè)也不穩(wěn)定佑颇，如果使用了 SElinux 限制權(quán)限反而可能導(dǎo)致新手遇到權(quán)限不夠的問題顶掉，比如說監(jiān)聽不到 mysqld.sock 導(dǎo)致 phpMyAdmin 默認(rèn)配置下無(wú)法登入這樣的尷尬，又或者說監(jiān)聽不到php.sock 導(dǎo)致 Nginx 無(wú)法反代 unix socket 模式的 PHP-FPM挑胸。

SELinux 在 RHEL 及其社區(qū)版 CentOS 上有著非常的應(yīng)用痒筒，而在 Ubuntu 和 Debian 上，AppArmor 也有著非常好的支持茬贵，特別是 Ubuntu Server 上凸克。

AppArmor (Application Armor) 是一個(gè)類似于 SELinux 的一個(gè)強(qiáng)制訪問控制方法，通過它你可以指定程序可以讀闷沥、寫或運(yùn)行哪些文件，是否可以打開網(wǎng)絡(luò)端口等咐容。AppArmor 配置比 SELinux 更加方便比較適合學(xué)習(xí)舆逃。

介紹

Apparmor 有兩種工作模式：Complain（抱怨）和Enforcement（強(qiáng)制）

Complain– 即抱怨模式，在這種模式下，配置文件中的限制規(guī)則并不執(zhí)行路狮，僅僅對(duì)程序的行為進(jìn)行記錄虫啥，所以抱怨還是很貼切的。

Enforcement– 即強(qiáng)制模式奄妨，顧名思義在這種模式下涂籽，配置文件中的限制規(guī)則會(huì)執(zhí)行，并且對(duì)違反限制規(guī)則的軟件行為進(jìn)行記錄砸抛。

那 Complain 既然不能限制程序评雌，那為什么還需要這種模式呢？因?yàn)椤绻硞€(gè)程序的行為不符合其配置文件的限制直焙，可以將其行為記錄到系統(tǒng)日志景东，就可以根據(jù)日志轉(zhuǎn)換成配置文件，因此 Complain 在一些地方也被稱為Complain/Learning模式

教程

OpenResty 篇

這里將以 Ubuntu Server 16.04 LTS 并使用 OpenResty 為例奔誓，在過程中介紹 AppArmor 的一些使用細(xì)節(jié)和方法斤吐。

下面使用的是 OpenResty 官方提供的二進(jìn)制軟件包，編譯教程可以查看：Ubuntu 編譯安裝 OpenResty 及拓展支持

在 Ubuntu 上配置 AppArmor 實(shí)現(xiàn)強(qiáng)制訪問控制（MAC）

推薦閱讀更多精彩內(nèi)容