• Запретить запись в чувствительные пути хоста, даже если внутри контейнера процесс запущен от root.

• Ограничить разрешенные системные вызовы и операции с файлами сверх того, что предоставляет рантайм.

• Выдавать вам понятные человеку логи, когда что-то пытается выбраться из своей «песочницы».

В Ubuntu AppArmor включен по умолчанию, а в Debian и Arch его активация - дело пары пустяков.

Генерируем первый профиль

Для начала установим инструменты (пример для Debian/Ubuntu):

sudo apt update && sudo apt install apparmor apparmor-utils apparmor-profiles

Переведем целевое приложение в режим обучения (complain mode), чтобы понаблюдать за его реальным поведением:

sudo aa-genprof podman # или docker, или имя вашего бинарника

Утилита aa-genprof запускает программу в режиме обучения и следит за логами. Теперь запустите ваш контейнер в обычном рабочем режиме:

podman run --rm -it nginx:alpine sh

Погоняйте контейнер в хвост и в гриву (поустанавливайте пакеты, позаписывайте файлы и т.д.). Затем выйдете из него и позвольте утилите aa-logprof провести вас по процессу создания правил.

Минимальный готовый профиль (/etc/apparmor.d/podman-nginx) может выглядеть примерно так:

#include <tunables/global>

profile podman-nginx flags=(attach_disconnected,mediate_deleted) {

#include <abstractions/base>

#include <abstractions/nameservice>

capability net_bind_service,

capability setuid,

capability setgid,

network inet stream,

network inet6 stream,

/var/log/nginx/** rw,

/var/cache/nginx/** rw,

/etc/nginx/** r,

/usr/share/nginx/** r,

# Запрещаем доступ на запись к большей части /proc и /sys по умолчанию

deny /proc/** w,

deny /sys/** w,

# Разрешаем только конкретное чтение при необходимости

/proc/cpuinfo r,

/proc/meminfo r,

# Бинарник вашего приложения и библиотеки

/usr/sbin/nginx mr,

/usr/lib/nginx/** mr,

# Обработка сигналов

signal (receive) set=term,

# Запрещаем всё остальное по умолчанию

deny /** wl,

}

Инструмент aa-logprof шаг за шагом проведет вас по каждому залогированному событию и позволит выбрать: разрешить его, запретить или проигнорировать.

Принудительное применение профиля в Podman

У Podman отличная интеграция с AppArmor. Запустите контейнер следующим образом:

podman run --security-opt apparmor=podman-nginx -p 8080:80 nginx:alpine

Убедитесь, что профиль действительно загружен:

sudo aa-status | grep podman-nginx

Вы должны увидеть его в режиме enforce (принудительное исполнение).

Для Docker (если вы всё еще его используете):

docker run --security-opt apparmor=podman-nginx nginx:alpine

Отладка и итерация

Если что-то ломается, проверьте логи ядра:

sudo dmesg | grep apparmor

# или

sudo journalctl -xe | grep apparmor

Затем снова воспользуйтесь интерактивным профилировщиком:

sudo aa-logprof

Он покажет, какого именно правила не хватало. Типичный сценарий: нужно добавить конкретный путь вида /run/… или /tmp/…, который легитимно требуется вашему приложению.

В продакшене вы можете временно переключить профиль в режим обучения (complain):

sudo aa-complain /etc/apparmor.d/podman-nginx

После настройки верните всё обратно в режим принудительного исполнения:

sudo aa-enforce /etc/apparmor.d/podman-nginx

С чего начать изучение

• Запускайте каждый новый образ контейнера с автоматически сгенерированным профилем в режиме обучения (complain) на протяжении недели.

• Храните профили в Git рядом с вашими манифестами развертывания.

• Сочетайте это с флагом --cap-drop=ALL и строгим профилем seccomp для эшелонированной защиты.

• Периодически используйте утилиту aa-unconfined, чтобы находить процессы, которые работают без ограничений.

Что почитать по теме

• Документация Ubuntu по AppArmor: https://ubuntu.com/server/docs/how-to/security/apparmor/

• Страница AppArmor на Arch Wiki (отличные примеры): https://wiki.archlinux.org/title/AppArmor

• Параметры безопасности Podman: man podman-run (ищите по ключевому слову apparmor)

• Man-страницы для aa-genprof(8), aa-logprof(8) и apparmor(7)

Профили AppArmor относятся к той категории инструментов, которые настраиваются один раз и довольно долго не меняются (если конечно хорошо к этому подойти в первый раз). Первоначальные вложения времени в изучение aa-logprof окупятся в первый же раз, когда вы поймаете контейнер на попытке сделать то, чего он делать не должен.

Если вы уже гоняете Podman или Docker в продакшене без кастомных профилей AppArmor, то это одно из самых высокодоходных (с точки зрения ROI) улучшений безопасности, которые вы можете сделать на этой неделе. Начните с одного критически важного сервиса и двигайтесь дальше.

Который я купил, в паре с диском на 3TB, потому что он был тупо самый дешёвый NAS, который я мог себе позволить, в бюджете было тыщ 8(были ж времена...). Плюс, благодаря модифицированной прошивке от программиста Владимира Твердохлеба, можно было ставить всякие аддоны, без необходимости заниматься подломом системы через SSH. В принципе, меня всё устраивало - в трансмишн с работы накидал всякого, домой пришёл, всё уже скачалось. Пока хватит, а там устройства войдут в обиход, будет лучше и дешевле. Ага, подешевело, проверяй...

Ну и старенький D-Link уже не вывозил, новые прошивки с трудом ворочались на его стареньком железе. Прошивка Alt-F работала в разы лучше, но была довольно непроста в освоении, плюс тот же трансмишн периодически давал всяких приколдесов, победить которые у меня никак не получалось. Решил я поменять NAS и... И охренел, натурально говоря. Совершенно невразумительные цены, самые всратые Synology и Qnap'ы, даже с рук стоили почти под 10-ку. Читал я про вариант сделать NAS из HP Microserver Gen8

Но, к сожалению, за Gen8 хотели, даже за б/у каких-то невменяемых денег, а покупать Gen7 на устаревшем железе, это прям совсем за гранью. Был у меня опыт с Terramaster'ом F2-212

Вот, вроде бы, устройство на голову превосходит мой старый D-Link, операционная система похожа на Synology/Qnap, всякие аддоны, цена адекватна(на момент покупки 13,5 тыщ), но... Всё какое-то кривое, косое, тот же трансмишн, или новомодный qbittorrent в докере ставило систему раком при работе. В общем, немного помучившись я сдал его назад, снова запустив D-link. И тут мне попадается статья про то, что можно NAS сделать самому и получится, как минимум не хуже. Хмм, подумал я и принялся за дело. Разумеется начать хочется с корпуса, сейчас есть много вариантов, я, как и автор статьи, остановился на вот этом красавце от INNOVISION.

Ссылка на покупку https://aliexpress.ru/item/1005001370106988.html?spm=a2g2w.o...

Нашёл и купил материнскую плату MINI-ITX Asus P8H77-I

Помимо того, что у неё был старый добрый 1155 сокет и DDR3 память, у неё целых 6(ШЕСТЬ!!!) портов SATA. 16 гигов памяти у меня осталось, от каких-то времён, процик i3 я купил. Но потом мне в руки попался i5 3570k, который на ней радостно завёлся.

Вентилятор и блок питания купил по аналогии с той статьёй. Вентиль ID Cooling IS-30

Блок питания Exegate БП 300W ExeGate ServerPRO-1U-F300S, вроде как, судя по словам автора статьи с тихим вентилятором.

Итого по ценнику вышло

Материнская плата - 2500

Блок питания - 1339

Заглушка для материнки - 289

Флешка 4Gb маленькая, под загрузчик XPenology - 278

Кулер 1303

Процессор i3 452 (не пригодился)

Корпус с доставкой - 7475

Проц+Память+Sata шлейфаки 0

В итоге имеем те же 13 500 рубасов, но в разы лучшии характеристики.

Да, не всё оказалось так радужно, как я себе думал. Статья была написана в 2022-м году и похоже за это время у Exegate что-то поменялось, ибо у блока нет переключателя.

Но ладно, хрен бы с ним, мне же лучше - не надо пилить заглушку на корпусе, но вертушка ревёт что маленькая турбина. Я решил было сделать ход конём, заменив вертушку на NOCTUA, которая, по заверениям продавцов и челиком на ютубе, типа БЕСШУМНАЯ отдав за неё почти 2к. Две, ёб вашу мать тыщи, Карл, дороже целого блока питания!!! А она такая же шумная, где эти 14,5 децибел, я вас спрашиваю?!!!

Ну тут, я допускаю, может быть я сам пропёрся, ибо этих NOCTUA целых четыре варианта, я, насмотревшись ютубов, купил не разбираясь, может в этом дело. Сейчас с продаваном пытаюсь решить, можно ли взад сдать, учитывая что те же скотч-локи легко заменить. В общем, собрал я тачанку, не без геморроя, конечно, ибо всё очень впритык, но завелось. Хвалёная Xpenology заводилась с большим трудом, завелась, но почему-то центр приложений работать наотрез отказывался. Я решил обновить DSM, но там уже загрузчик мне сказал иди на хер, пересборки результата не дали, читать тонну текстов, почему так, мне было влом, ну я пока на это дело забил. И пока что моим решением было следующее - Ubuntu Server(Ну или Debian)+CasaOS. Ставится - не бей лежачего, скачиваешь Ubuntu, ставишь на SSD-шник, в самой минималке, главное SSH сервак поставить галочку. Затем скриптом ставишь эту Касу, профит. Удобный веб интерфейс для всех функций, который позволяет делать всё, что мне нужно, при этом не запирая меня в какие-то рамки - ежеди мне чего-то надобно, я всегда могу подключиться к серверу по ssh и чего-то доставить.

То есть, за относительно небольшие деньги всё же получается сделать себе сервачок, который на голову превзойдёт то, что тебе предлагает рынок. А предлагает он, мягко говоря, сверхдорогую хрень.

23 апреля 2026 года Canonical выпустила Ubuntu 26.04 LTS Resolute Raccoon. Для меня это старт большого проекта. Работа Linux-администратора в крупной компании подразумевает создание «золотого образа», который потом годами будет крутиться на сотнях машин.

В мои задачи входит поддержка систем управления конфигурациями. И большая часть хостов крутится на подготовленной Ubuntu с нужным набором программ, политиками, настройками рабочего окружения, сертификатами, репозиториями, ограничениями, автозапуском, удалённым доступом и прочей инфраструктурной обвязкой.

Срок поддержки заявлен до 2031 года. Для корпоративной среды это главный аргумент: если сейчас нормально подготовить дистрибутив, на нём можно спокойно жить ещё 5 лет.

Первое знакомство.

Canonical в документации указывает для Ubuntu Desktop 26.04 минимум 6 ГБ RAM, 2 GHz dual-core CPU и 25 ГБ.

В чистом виде, без swap-файла, система заняла у меня около 6.6 ГБ на диске. Потребление оперативки на старте чуть меньше 2 ГБ. На фоне этого официальная рекомендация в 6 ГБ RAM выглядит как оценка для комфортной работы.

Думаю после загрузки всех требуемых пакетов, браузеров с десятками вкладок, мессенджерами, антивирусами, агентами и прочими пожирателями ресурсов будет в самый раз.

После тестовой установки нескольких тяжеловесных приложений, система ощущается плавной и отзывчивой. Дальше предстоит выяснить что поменялось в системе, где могут сломаться сценарии Puppet, не поедут ли настройки dconf/gsettings и ещё тысячи других мелочей.

Что нового в «Решительном еноте»?

Если сравнивать с 22.04 (которая до сих пор остается основной рабочей лошадкой во многих конторах), то это довольно крупный технологический скачок.

- Ядро Linux 7.0. Ubuntu 26.04 базируется на новой мажорной версии ядра. Это поддержка самого свежего железа, оптимизации в работе планировщика, а также свежие фичи в сетевом стеке.

- GNOME 50 принёс улучшения в адаптации интерфейса под небольшие экраны, аппаратное ускорение записи экрана, прокачанный remote desktop и более плавную работу. GNOME-сессия теперь работает только на Wayland. Старый добрый X11 не бросили (он работает через XWayland), но стандартная сессия как X.org больше не запускается. Здесь есть риск что все настройки связанные с графикой и удалённым доступом могут сломаться.

- Также Canonical удалила PreLogin и PostSession скрипты. Это может задеть корпоративные сценарии, например синхронизацию домашней директории при входе/выходе или очистку временных данных.

- Расширилось использования Rust в системе. Это помогает бороться с целым классом ошибок памяти, что всё равно не делает утилиты полностью безопасными.

- APT 3.1. Наконец то история операций и команды для отката: apt history-info, apt history-undo, apt history-redo, apt history-rollback. Вещь полезная, особенно когда случайно удалил лишнее.

Так же появилось несколько изменений, которые важны для администратора.

- Dracut — новый механизм сборки initramfs по умолчанию. Он отвечает за ранний этап загрузки системы: подготовку драйверов, модулей, шифрования дисков и всего, что нужно до старта основной ОС.

- TPM-backed full-disk encryption — полнодисковое шифрование с привязкой ключей к TPM-чипу. Система может разблокироваться автоматически, если проверка целостности прошла успешно. Это удобно, но требует аккуратности при обновлениях BIOS или замене платы.

- CUDA и ROCm в репозиториях Ubuntu — упрощённая установка инструментов для вычислений на GPU, что полезно для ML.

Итог

Первое впечатление у меня положительное. Система установилась без сюрпризов, занимает умеренно места, по памяти выглядит адекватно, интерфейс работает плавно. В системе заявлено довольно много новых технологий, что обещает начало долгого марафона по настройке и тестированию. Будем смотреть, как Енот покажет себя в «боевых» условиях.

Это же бубунта, которую бесплатно(!) рассылали по всему миру! Помню, как был в шоке, когда пришёл небольшой конверт с диском. Я, ещё мелкий, успел уже расстроиться и забыть про этот диск. И как был приятно удивлен, что зеркала с обновлениями на яндексовых серверах Ростелеком не резал по скорости (ADSL), обновления скачивались сильно быстрее, чем загрузка из «обычного» интернета. Эх, как давно это было...