Početna » kako da » Kako stvoriti AppArmor profile za zaključavanje programa na Ubuntu

    Kako stvoriti AppArmor profile za zaključavanje programa na Ubuntu

    AppArmor zaključava programe na vašem Ubuntu sustavu, dopuštajući im samo dozvole koje zahtijevaju u normalnoj upotrebi - osobito korisno za poslužiteljski softver koji može postati ugrožen. AppArmor sadrži jednostavne alate koje možete koristiti za zaključavanje drugih aplikacija.

    AppArmor je prema zadanim postavkama uključen u Ubuntu i neke druge Linux distribucije. Ubuntu isporučuje AppArmor s nekoliko profila, ali također možete kreirati vlastite profile AppArmor. AppArmor programi mogu pratiti izvršenje programa i pomoći vam u stvaranju profila.

    Prije stvaranja vlastitog profila za aplikaciju, možda ćete htjeti provjeriti paket apparmor-profile u skladištima Ubuntua da vidite je li profil za aplikaciju koju želite ograničiti već postoji.

    Izradite i pokrenite testni plan

    Morat ćete pokrenuti program dok ga AppArmor gleda i prolazi kroz sve njegove normalne funkcije. U osnovi, trebate koristiti program kao što bi se koristio u normalnoj upotrebi: pokrenite program, zaustavite ga, ponovno ga učitajte i koristite sve njegove značajke. Trebali biste osmisliti plan testa koji prolazi kroz funkcije koje program treba izvršiti.

    Prije pokretanja testnog plana pokrenite terminal i pokrenite sljedeće naredbe da biste instalirali i pokrenuli aa-genprof:

    sudo apt-get instaliraj apparmor-utils

    sudo aa-genprof / put / u / binarno

    Ostavite aa-genprof da radi u terminalu, pokrenite program i pokrenite gore opisani plan testiranja. Što je plan testa sveobuhvatniji, manje ćete problema imati kasnije.

    Kada završite s izvršavanjem plana testa, vratite se na terminal i pritisnite gumb S ključ za skeniranje zapisnika sustava za događaje AppArmor.

    Za svaki događaj od vas će se tražiti da odaberete radnju. Na primjer, ispod možemo vidjeti da je / usr / bin / man, koji smo profilirali, izvršio / usr / bin / tbl. Možemo odabrati hoće li / usr / bin / tbl naslijediti / usr / bin / man sigurnosne postavke, mora li se izvoditi s vlastitim AppArmor profilom, ili treba li se izvoditi u neograničenom načinu.

    Za neke druge radnje vidjet ćete različite upite - ovdje dopuštamo pristup / dev / tty, uređaju koji predstavlja terminal

    Na kraju procesa dobit ćete upit za spremanje novog profila AppArmor.

    Omogućavanje načina žalbe i ugađanje profila

    Nakon izrade profila, stavite ga u "način žalbe", gdje AppArmor ne ograničava radnje koje može poduzeti, već umjesto toga bilježi sva ograničenja koja bi se inače pojavila:

    sudo aa-complain / put / u / binarno

    Koristite program normalno neko vrijeme. Nakon što ga normalno koristite u načinu rada žalbe, pokrenite sljedeću naredbu za skeniranje sistemskih zapisa o pogreškama i ažuriranje profila:

    sudo aa-logprof

    Pomoću načina rada za prisilnu zabranu aplikacije

    Nakon što završite s preciznim podešavanjem profila AppArmor, omogućite "provodi način" da biste zaključali aplikaciju:

    sudo aa-prisiliti / put / do / binarno

    Možda želite pokrenuti sudo aa-logprof naredbu da u budućnosti prilagodite svoj profil.


    AppArmor profili su obične tekstualne datoteke, tako da ih možete otvoriti u uređivaču teksta i ručno ih podesiti. Međutim, gore navedeni uslužni programi vas vode kroz postupak.