بسم الله الرحمن الرحيم
الحمد لله رب العالمين، وصلى الله وسلم وبارك على عبده ورسوله نبينا محمد وعلى آله وصحبه أجمعين
السلام عليكم ورحمة الله وبركاته
ماذا يعني اختراق النظام او تعطيل AppArmor/SELinux
تحليل أمني شامل وخطير
تُعد أنظمة التشغيل المبنية على Linux من أكثر الأنظمة أمانًا، ويعود ذلك إلى بنيتها الصارمة واعتمادها على عدة طبقات حماية. من أهم هذه الطبقات AppArmor و SELinux، وهما آليتان لتطبيق ما يُعرف بـ التحكم الإجباري بالوصول (Mandatory Access Control - MAC).
لكن ماذا لو تمكن مهاجم (هاكر) من تعطيل أو حذف AppArmor أو SELinux؟
هذا السؤال ليس بسيطًا، لأن الإجابة تعني غالبًا أن النظام قد فقد الثقة الأمنية بالكامل.
أولًا: ما هو AppArmor و SELinux؟
1. AppArmor
نظام أمني يعتمد على الملفات والمسارات
يحدد بدقة ما يمكن للتطبيق فعله:
الملفات التي يقرأها
الشبكات التي يتصل بها
الأوامر التي ينفذها
سهل الإعداد نسبيًا
مستخدم افتراضيًا في توزيعات مثل Ubuntu
2. SELinux
نظام أمني أكثر تعقيدًا وقوة
يعتمد على السياسات والسياقات (contexts)
يفرض قيودًا حتى على العمليات التي تعمل بصلاحيات root
مستخدم في Red Hat، CentOS، Fedora
🔐 كلاهما يعملان فوق نظام الصلاحيات التقليدي (DAC)، أي أن:
حتى لو حصل البرنامج على صلاحيات root، لا يستطيع تجاوز القيود المفروضة عليه.
ثانيًا: لماذا يُعد تعطيلهما أمرًا خطيرًا؟
عند تعطيل AppArmor أو SELinux:
تختفي طبقة الحماية الأخيرة
يعود النظام للاعتماد فقط على:
المستخدم
الصلاحيات التقليدية
يصبح أي استغلال بسيط ثغرة كاملة
📌 النتيجة:
أي برنامج مخترق يمكنه:
قراءة وتعديل ملفات النظام
زرع برمجيات خبيثة
إنشاء مستخدمين خفيين
تثبيت Rootkits
تعطيل أدوات المراقبة
ثالثًا: هل يستطيع الهاكر تعطيل AppArmor أو SELinux؟
الجواب المختصر: نعم، ولكن بشروط خطيرة
لا يمكن تعطيل هذه الأنظمة إلا إذا:
حصل المهاجم على صلاحيات root
أو استغل ثغرة في Kernel
أو استغل إعدادات أمنية ضعيفة
طرق التعطيل الشائعة:
1. إيقاف الخدمة:
```bash
systemctl stop apparmor
setenforce 0
```
2. تعطيل دائم عبر الإعدادات:
```bash
/etc/selinux/config
/etc/apparmor/
```
3. حذف الحزم الأمنية:
```bash
apt remove apparmor
dnf remove selinux-policy
```
4. التلاعب بعملية الإقلاع (GRUB):
```text
selinux=0
apparmor=0
```
⚠️ هذا يعني أن الاختراق سبق التعطيل، وليس العكس.
رابعًا: كيف تكتشف أن النظام تعرض لهذا النوع من الاختراق؟
فحص حالة الأنظمة الأمنية:
```bash
sestatus
aa-status
```
مؤشرات خطيرة:
الحالة: `disabled`
الوضع: `permissive`
الأداة غير موجودة
فحوصات إضافية:
```bash
last
lastlog
journalctl -p err
```
إذا وجدت:
تسجيلات دخول غريبة
خدمات توقفت بدون سبب
تغييرات في kernel parameters
🚨 فهذا مؤشر اختراق حقيقي.
خامسًا: ماذا يجب فعله فورًا؟
❌ ما لا يجب فعله:
لا تحاول فقط إعادة تفعيل AppArmor أو SELinux
لا تثق بالنظام مرة أخرى
✅ الإجراءات الصحيحة:
1. فصل النظام عن الشبكة
2. نسخ البيانات المهمة فقط (ملفات غير تنفيذية)
3. توثيق ما حدث
4. إعادة تثبيت النظام من الصفر (Clean Install)
5. تغيير جميع كلمات المرور
6. إعادة توليد مفاتيح SSH
📌 أي محاولة إصلاح بدون إعادة تثبيت = مخاطرة كبيرة
سادسًا: كيف نحمي النظام مستقبلًا؟
إجراءات Hardening أساسية:
قفل GRUB بكلمة مرور
تفعيل Secure Boot
تعطيل root login عبر SSH
تحديث النظام والنواة باستمرار
تفعيل:
`auditd`
`fail2ban`
مراقبة سلامة الملفات:
`AIDE`
`Tripwire`
مبدأ أمني مهم:
إذا وصل الهاكر إلى root، فالمعركة انتهت
الحل الحقيقي هو منع الوصول للـ root من البداية
سابعًا: خلاصة أمنية
| الحالة | التقييم |
|---|---|
| تعطيل AppArmor | خطر مرتفع |
| تعطيل SELinux | خطر حرج |
| تعطيل الاثنين | اختراق كامل للنظام |
| إعادة تفعيل بدون إعادة تثبيت | ❌ غير آمن |
تعطيل AppArmor أو SELinux ليس مجرد إعداد خاطئ، بل علامة حمراء تدل على أن النظام قد تم التحكم به من الداخل.
الأمن في Linux ليس أداة واحدة، بل منظومة كاملة، وعند سقوط أحد أعمدتها الأساسية، لا بد من إعادة البناء من الجذور.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))