Isoler les applications sensibles du système avec les profils de sécurité AppArmor sous Linux Ubuntu

Laisser un commentaire / Linux / Par

AppArmor est un mécanisme de sécurité qui isole les applications sensibles du système.

Sur Ubuntu et autres distributions Linux, il limite l’accès aux fichiers et ressources nécessaires au fonctionnement.

A retenir :

  • AppArmor fourni et activé par défaut sur installations Ubuntu modernes
  • Profils de sécurité adaptables pour confinement des applications et services
  • aa-genprof et aa-logprof pour générer et affiner les profils
  • Intégration possible avec outils supplémentaires pour gestion des permissions

Installation et vérification d’AppArmor sur Ubuntu

Après les points essentiels, installer AppArmor active la protection de base du système.

Sur Ubuntu, AppArmor est généralement préinstallé et chargé lors du démarrage du noyau.

Pour installer les utilitaires, exécutez la commande apt dédiée sur systèmes Debian dérivés afin d’obtenir les outils.

Vérifiez le statut avec la commande sudo apparmor_status afin d’observer les profils chargés et les éventuels blocages.

Commande But Contexte d’usage
sudo apt install apparmor apparmor-utils Installation des paquets nécessaires Déploiement initial sur Ubuntu
sudo systemctl status apparmor Vérifier si le service est actif Contrôle post-installation
sudo apparmor_status Lister profils chargés et événements Diagnostic rapide
sudo aa-enforce /etc/apparmor.d/nom Passer un profil en mode application Activation ciblée d’un profil

A lire également :  Migration de Windows vers Linux Mint pour la bureautique d'entreprise

Vérifier le statut AppArmor et lister les profils

Ce point détaille comment confirmer qu’AppArmor fonctionne correctement sur Ubuntu.

La commande sudo apparmor_status fournit un résumé des profils chargés et des événements récents à analyser.

Selon la documentation Ubuntu, certains profils comme rsyslog peuvent être désactivés par défaut pour compatibilité.

Consultez le dossier /etc/apparmor.d/disable pour identifier et gérer ces profils inactifs sur le système.

Commandes terminal utiles :

  • sudo apt install apparmor apparmor-utils
  • sudo systemctl status apparmor
  • sudo apparmor_status
  • sudo aa-enforce /etc/apparmor.d/nom_du_profil

« J’ai vérifié le statut dès l’installation et j’ai pu activer des profils sans interrompre mes services. »

Alice B.

Activer et désactiver les profils AppArmor

Après la vérification, il faut savoir activer ou retirer un profil selon le besoin opérationnel du service.

L’outil apparmor-utils fournit aa-enforce et aa-complain pour basculer rapidement le mode des profils ciblés.

Pour désactiver un profil, créez un lien symbolique vers /etc/apparmor.d/disable afin de conserver la configuration source intacte.

Selon AppArmor Wiki, apparmor_parser -R retire un profil chargé sans modifier le fichier source présent sur le disque.

Ces manipulations préparent la création de profils personnalisés pour confiner les applications et services exposés.

Créer et affiner des profils AppArmor personnalisés

A lire également :  Installer la distribution Linux Tails sur une clé USB pour garantir l'anonymat sur le réseau Tor

Fort de la maîtrise des commandes, la création de profils devient l’étape suivante pour verrouiller un service.

L’approche consiste à capturer l’activité d’un binaire puis à transformer ces traces en règles précises et exploitables.

Génération initiale avec aa-genprof

La génération initiale avec aa-genprof permet d’obtenir un gabarit opérationnel du profil du programme surveillé.

L’outil observe les accès du programme et propose des autorisations à valider ou refuser selon les usages réels.

Étapes de profilage :

  • Identifier le binaire et son chemin complet
  • Lancer sudo aa-genprof suivi du chemin ciblé
  • Utiliser l’application pour générer les traces d’accès
  • Valider sélectivement les règles proposées par l’outil

Dans un test avec un éditeur graphique, chaque action a produit des demandes d’accès visibles à l’écran, utiles pour le profilage.

Selon AppArmor Wiki, répéter les scénarios d’utilisation améliore la complétude du profil final avant déploiement.

« J’ai appliqué aa-genprof pour un service interne et le profil a réduit les accès indésirables. »

Bob C.

Affiner avec aa-logprof et journaux

Après la génération, l’affinement à l’aide des journaux corrige les autorisations trop larges détectées en phase de test.

La commande aa-logprof analyse les logs d’AppArmor et propose des ajustements à appliquer en toute sécurité.

Avant d’appliquer un profil en production, testez-le en mode complain pour collecter les comportements sans bloquer les services.

A lire également :  La synergie historique entre le serveur web Nginx et le système d'exploitation Linux

Selon la documentation Ubuntu, le mode complain aide à affiner sans interrompre le service ni provoquer des pannes.

Mode Effet Usage recommandé
Enforce Blocage des actions non autorisées et journalisation Production pour profils validés
Complain Journalisation des violations sans blocage Phase de test et apprentissage
Disabled Profil non chargé, aucun contrôle Compatibilité temporaire ou maintenance
Audit Collecte de données pour analyse Diagnostic et création de règles

Le travail d’affinement réduit la surface d’attaque tout en maintenant la disponibilité du service pour les utilisateurs finaux.

Une fois le profil stabilisé, il reste à adresser les permissions réseau et confinement strict dans l’architecture.

Approfondir l’isolation réseau et l’intégration avec d’autres outils

Après avoir stabilisé les profils, l’abaissement de la surface réseau devient prioritaire pour renforcer l’isolation.

La gestion des sockets et des permissions réseau par profil réduit les possibilités d’exfiltration ou d’accès lateral.

Limiter l’accès réseau via des profils AppArmor

Pour confiner un service, restreindre ses sockets réseau réduit les vecteurs d’attaque et la surface exposée.

Les règles réseau dans un profil peuvent autoriser uniquement les connexions nécessaires au service concerné.

Règles réseau ciblées :

  • Autoriser seulement les ports et adresses nécessaires
  • Interdire les connexions sortantes non essentielles
  • Restreindre les interfaces réseau utilisables par l’application
  • Combiner avec pare-feu pour défense en couches

Selon des retours d’expérience, la limitation des sockets a empêché plusieurs incidents sur des services hébergés.

Conjuguer AppArmor avec SELinux et antivirus

Enfin, combiner AppArmor avec d’autres solutions renforce la stratégie de défense en profondeur du système.

AppArmor se distingue par sa simplicité de profils, tandis que SELinux offre un modèle plus granulaire et complexe.

Selon SUSE, AppArmor reste pertinent pour des environnements où la gestion par binaire simplifie l’exploitation quotidienne.

« L’association d’AppArmor et d’un antivirus nous a apporté une couche supplémentaire de protection efficace. »

Carol D.

Un avis d’administrateur expérimenté souligne l’intérêt pratique d’une approche multi-outils pour la protection des données.

« La gestion des permissions via profils m’a permis de limiter les fuites de données sur un serveur critique. »

David E.

Source : « AppArmor Wiki », GitLab ; « AppArmor », Documentation Ubuntu ; « Guide AppArmor », SUSE.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut