Domača » kako » Kako ustvariti profile AppArmor za zaklepanje programov na Ubuntu

    Kako ustvariti profile AppArmor za zaklepanje programov na Ubuntu

    AppArmor zaklene programe na vašem sistemu Ubuntu, kar jim omogoča le dovoljenja, ki jih potrebujejo pri običajni uporabi - še posebej uporabno za strežniško programsko opremo, ki lahko postane ogrožena. AppArmor vsebuje enostavna orodja, s katerimi lahko zaklenete druge aplikacije.

    AppArmor je privzeto vključen v Ubuntu in nekatere druge distribucije Linuxa. Ubuntu pošilja AppArmor z več profili, lahko pa tudi ustvarite lastne profile AppArmor. Pripomočki AppArmor lahko nadzorujejo izvajanje programa in vam pomagajo ustvariti profil.

    Preden ustvarite svoj profil za aplikacijo, boste morda želeli preveriti paket apparmor-profile v skladiščih Ubuntuja, da vidite, ali profil za aplikacijo, ki jo želite omejiti, že obstaja.

    Ustvarite in izvedite preskusni načrt

    Program morate zagnati, medtem ko AppArmor gleda in hodi skozi vse njegove normalne funkcije. V bistvu morate uporabljati program, kot bi ga uporabljali pri običajni uporabi: zaženite program, ga ustavite, ponovno naložite in uporabite vse njegove funkcije. Pripravite načrt preskusa, ki poteka skozi funkcije, ki jih mora program izvajati.

    Preden zaženete testni načrt, zaženite terminal in zaženite naslednje ukaze za namestitev in zagon aa-genprof:

    sudo apt-get namesti apparmor-utils

    sudo aa-genprof / pot / do / binarno

    Pustite aa-genprof, ki teče v terminalu, zaženite program in preglejte zgoraj opisani načrt testiranja. Bolj obsežen je vaš testni načrt, manj težav boste naleteli kasneje.

    Ko končate z izvajanjem testnega načrta, se vrnite na terminal in pritisnite S za skeniranje sistemskega dnevnika za dogodke AppArmor.

    Za vsak dogodek boste morali izbrati dejanje. Spodaj lahko vidimo, da je / usr / bin / man, ki smo ga profilirali, izvršil / usr / bin / tbl. Izberemo, ali naj / usr / bin / tbl podeduje / usr / bin / man varnostne nastavitve, ali naj se izvaja z lastnim profilom AppArmor ali pa naj se izvaja v neomejenem načinu..

    Za nekatere druge akcije boste videli različne pozive - tukaj dovoljujemo dostop do / dev / tty, naprave, ki predstavlja terminal

    Na koncu postopka boste pozvani, da shranite nov profil AppArmor.

    Omogočanje načina pritožbe in spreminjanje profila

    Ko ustvarite profil, ga postavite v »način pritožbe«, kjer AppArmor ne omejuje dejanj, ki jih lahko sprejme, ampak zabeleži vse omejitve, ki bi se sicer zgodile:

    sudo aa-complain / pot / do / binarno

    Uporabite program običajno za nekaj časa. Ko ga običajno uporabljate v načinu pritožbe, zaženite naslednji ukaz, da skenirate sistemske dnevnike o napakah in posodobite profil:

    sudo aa-logprof

    Z uporabo prisilnega načina za zaklep aplikacije

    Ko končate s fino nastavitvijo profila AppArmor, omogočite »uveljavitev načina«, da zaklenete aplikacijo:

    sudo aa-prisiliti / pot / do / binarno

    Morda boste želeli zagnati sudo aa-logprof v prihodnje ukažite, da prilagodite svoj profil.


    Profili AppArmor so datoteke z navadnim besedilom, zato jih lahko odprete v urejevalniku besedila in jih ročno prilagodite. Vendar vas zgoraj navedene pripomočke vodijo skozi postopek.