Aislamiento con AppArmor

AppArmor (Application Armor) es un módulo de seguridad para el kernel de Linux que aplica control de acceso obligatorio (MAC) mediante perfiles que restringen lo que cada programa puede hacer. Permite aislar procesos, limitar su alcance y proteger el sistema incluso si una aplicación es comprometida.

Comandos Básicos

Comando

Descripción

sudo systemctl status apparmor

Verificar si AppArmor está activo

sudo aa-status

Mostrar perfiles cargados y sus modos

sudo aa-enforce /ruta/perfil

Activar modo de refuerzo (bloqueo)

sudo aa-complain /ruta/perfil

Activar modo permisivo (solo registro)

sudo apparmor_parser -r /ruta/perfil

Recargar perfil tras editarlo

sudo aa-disable /ruta/perfil

Desactivar un perfil

Flujo Básico de Uso

Verificar estado:

sudo systemctl status apparmor

Ver perfiles activos:

sudo aa-status

Aplicar modo de refuerzo a un perfil:

sudo aa-enforce /etc/apparmor.d/usr.sbin.sshd

Cambiar a modo permisivo:

sudo aa-complain /etc/apparmor.d/usr.sbin.sshd

Crear un perfil automáticamente:

sudo aa-genprof nginx

Recargar tras edición manual:

sudo apparmor_parser -r /etc/apparmor.d/usr.sbin.sshd

Desactivar un perfil:

sudo aa-disable /etc/apparmor.d/usr.sbin.sshd

Perfiles y Ubicación

Todos los perfiles están en:

/etc/apparmor.d/

Ejemplos:

usr.sbin.sshd — Servidor SSH
usr.bin.dnsmasq — DNSMasq
usr.sbin.nginx — Nginx

Modos de Operación

enforce: Bloquea acciones no permitidas.
complain: Solo registra violaciones (útil para pruebas).
disable: Perfil no se aplica.

Caso Práctico: Proteger SSH

sudo aa-enforce /etc/apparmor.d/usr.sbin.sshd
sudo aa-status

Deberías ver sshd en modo enforce.

AnteriorProtección con Fail2Ban SiguienteHardening del Kernel

Última actualización hace 9 meses

hashtagComandos Básicos

hashtagFlujo Básico de Uso

hashtagPerfiles y Ubicación

hashtagModos de Operación

hashtagCaso Práctico: Proteger SSH

Comandos Básicos

Flujo Básico de Uso

Perfiles y Ubicación

Modos de Operación

Caso Práctico: Proteger SSH