Kako ustvariti profile AppArmor za zaklepanje programov na Ubuntu
AppArmor zaklene programe na vašem sistemu Ubuntu, kar jim omogoča le dovoljenja, ki jih potrebujejo pri običajni uporabi - še posebej uporabno za strežniško programsko opremo, ki lahko postane ogrožena. AppArmor vsebuje enostavna orodja, s katerimi lahko zaklenete druge aplikacije.
AppArmor je privzeto vključen v Ubuntu in nekatere druge distribucije Linuxa. Ubuntu pošilja AppArmor z več profili, lahko pa tudi ustvarite lastne profile AppArmor. Pripomočki AppArmor lahko nadzorujejo izvajanje programa in vam pomagajo ustvariti profil.
Preden ustvarite svoj profil za aplikacijo, boste morda želeli preveriti paket apparmor-profile v skladiščih Ubuntuja, da vidite, ali profil za aplikacijo, ki jo želite omejiti, že obstaja.
Ustvarite in izvedite preskusni načrt
Program morate zagnati, medtem ko AppArmor gleda in hodi skozi vse njegove normalne funkcije. V bistvu morate uporabljati program, kot bi ga uporabljali pri običajni uporabi: zaženite program, ga ustavite, ponovno naložite in uporabite vse njegove funkcije. Pripravite načrt preskusa, ki poteka skozi funkcije, ki jih mora program izvajati.
Preden zaženete testni načrt, zaženite terminal in zaženite naslednje ukaze za namestitev in zagon aa-genprof:
sudo apt-get namesti apparmor-utils
sudo aa-genprof / pot / do / binarno
Pustite aa-genprof, ki teče v terminalu, zaženite program in preglejte zgoraj opisani načrt testiranja. Bolj obsežen je vaš testni načrt, manj težav boste naleteli kasneje.
Ko končate z izvajanjem testnega načrta, se vrnite na terminal in pritisnite S za skeniranje sistemskega dnevnika za dogodke AppArmor.
Za vsak dogodek boste morali izbrati dejanje. Spodaj lahko vidimo, da je / usr / bin / man, ki smo ga profilirali, izvršil / usr / bin / tbl. Izberemo, ali naj / usr / bin / tbl podeduje / usr / bin / man varnostne nastavitve, ali naj se izvaja z lastnim profilom AppArmor ali pa naj se izvaja v neomejenem načinu..
Za nekatere druge akcije boste videli različne pozive - tukaj dovoljujemo dostop do / dev / tty, naprave, ki predstavlja terminal
Na koncu postopka boste pozvani, da shranite nov profil AppArmor.
Omogočanje načina pritožbe in spreminjanje profila
Ko ustvarite profil, ga postavite v »način pritožbe«, kjer AppArmor ne omejuje dejanj, ki jih lahko sprejme, ampak zabeleži vse omejitve, ki bi se sicer zgodile:
sudo aa-complain / pot / do / binarno
Uporabite program običajno za nekaj časa. Ko ga običajno uporabljate v načinu pritožbe, zaženite naslednji ukaz, da skenirate sistemske dnevnike o napakah in posodobite profil:
sudo aa-logprof
Z uporabo prisilnega načina za zaklep aplikacije
Ko končate s fino nastavitvijo profila AppArmor, omogočite »uveljavitev načina«, da zaklenete aplikacijo:
sudo aa-prisiliti / pot / do / binarno
Morda boste želeli zagnati sudo aa-logprof v prihodnje ukažite, da prilagodite svoj profil.
Profili AppArmor so datoteke z navadnim besedilom, zato jih lahko odprete v urejevalniku besedila in jih ročno prilagodite. Vendar vas zgoraj navedene pripomočke vodijo skozi postopek.