Ubuntu内核安全模块配置（从零开始掌握LSM与AppArmor安全加固）

什么是Linux安全模块（LSM）？

Linux安全模块（Linux Security Modules，简称LSM）是Linux内核的一个轻量级框架，允许各种安全策略以模块形式集成到内核中。常见的LSM包括：

• AppArmor：基于路径的强制访问控制（MAC）系统，易于配置。
• SELinux：由NSA开发，功能强大但配置复杂。
• Smack、Yama 等其他模块。

Ubuntu默认使用 AppArmor 作为其主要的LSM，这也是我们本教程的重点。

步骤一：检查当前启用的LSM

首先，我们需要确认系统当前启用了哪些安全模块。打开终端（Ctrl+Alt+T），输入以下命令：

cat /sys/kernel/security/lsm  

正常情况下，你会看到类似如下输出：

lockdown,yama,apparmor  

这表示系统已启用 yama 和 apparmor 模块。如果你没看到 apparmor，可能需要手动启用。

步骤二：启用AppArmor（如未启用）

大多数Ubuntu桌面版默认已启用AppArmor，但服务器版可能需要手动开启。执行以下命令：

# 安装AppArmor用户空间工具sudo apt updatesudo apt install apparmor apparmor-utils# 启用AppArmor服务sudo systemctl enable apparmorsudo systemctl start apparmor# 验证状态sudo aa-status  

如果看到类似“0 profiles are loaded”的提示，说明AppArmor已运行但尚未加载任何策略文件。别担心，系统自带了一些预定义配置。

步骤三：查看和管理AppArmor配置文件

AppArmor的配置文件通常位于 /etc/apparmor.d/ 目录下。你可以通过以下命令查看已加载的配置：

ls /etc/apparmor.d/  

例如，如果你安装了Firefox，可能会看到 usr.bin.firefox 文件。要为某个程序启用配置，使用：

sudo apparmor_parser -r /etc/apparmor.d/usr.bin.firefox  

其中 -r 表示重新加载配置。

步骤四：创建自定义安全策略（可选进阶）

假设你想限制一个自定义脚本 /home/user/myscript.sh 的权限，可以这样做：

1. 使用 aa-genprof 工具生成配置模板：

sudo aa-genprof /home/user/myscript.sh  

然后按照提示运行该脚本，AppArmor会记录其行为并生成策略。完成后，策略会自动保存到 /etc/apparmor.d/home.user.myscript.sh 并启用。

常见问题与注意事项

• 不要随意禁用AppArmor，除非你明确知道自己在做什么。
• 修改配置后记得重新加载：sudo apparmor_parser -r 配置文件路径。
• 日志通常记录在 /var/log/syslog 或 /var/log/audit/audit.log 中（需安装auditd）。

结语

通过本教程，你已经掌握了Ubuntu内核安全模块的基本配置方法，学会了如何启用和管理AppArmor安全设置，实现了基础的内核安全加固。安全不是一次性的任务，而是持续的过程。建议定期审查安全策略，及时更新系统。

希望这篇LSM配置教程对你有所帮助！如有疑问，欢迎在评论区留言交流。