Kako stvoriti AppArmor profile za zaključavanje programa na Ubuntu
AppArmor zaključava programe na vašem Ubuntu sustavu, dopuštajući im samo dozvole koje zahtijevaju u normalnoj upotrebi - osobito korisno za poslužiteljski softver koji može postati ugrožen. AppArmor sadrži jednostavne alate koje možete koristiti za zaključavanje drugih aplikacija.
AppArmor je prema zadanim postavkama uključen u Ubuntu i neke druge Linux distribucije. Ubuntu isporučuje AppArmor s nekoliko profila, ali također možete kreirati vlastite profile AppArmor. AppArmor programi mogu pratiti izvršenje programa i pomoći vam u stvaranju profila.
Prije stvaranja vlastitog profila za aplikaciju, možda ćete htjeti provjeriti paket apparmor-profile u skladištima Ubuntua da vidite je li profil za aplikaciju koju želite ograničiti već postoji.
Izradite i pokrenite testni plan
Morat ćete pokrenuti program dok ga AppArmor gleda i prolazi kroz sve njegove normalne funkcije. U osnovi, trebate koristiti program kao što bi se koristio u normalnoj upotrebi: pokrenite program, zaustavite ga, ponovno ga učitajte i koristite sve njegove značajke. Trebali biste osmisliti plan testa koji prolazi kroz funkcije koje program treba izvršiti.
Prije pokretanja testnog plana pokrenite terminal i pokrenite sljedeće naredbe da biste instalirali i pokrenuli aa-genprof:
sudo apt-get instaliraj apparmor-utils
sudo aa-genprof / put / u / binarno
Ostavite aa-genprof da radi u terminalu, pokrenite program i pokrenite gore opisani plan testiranja. Što je plan testa sveobuhvatniji, manje ćete problema imati kasnije.
Kada završite s izvršavanjem plana testa, vratite se na terminal i pritisnite gumb S ključ za skeniranje zapisnika sustava za događaje AppArmor.
Za svaki događaj od vas će se tražiti da odaberete radnju. Na primjer, ispod možemo vidjeti da je / usr / bin / man, koji smo profilirali, izvršio / usr / bin / tbl. Možemo odabrati hoće li / usr / bin / tbl naslijediti / usr / bin / man sigurnosne postavke, mora li se izvoditi s vlastitim AppArmor profilom, ili treba li se izvoditi u neograničenom načinu.
Za neke druge radnje vidjet ćete različite upite - ovdje dopuštamo pristup / dev / tty, uređaju koji predstavlja terminal
Na kraju procesa dobit ćete upit za spremanje novog profila AppArmor.
Omogućavanje načina žalbe i ugađanje profila
Nakon izrade profila, stavite ga u "način žalbe", gdje AppArmor ne ograničava radnje koje može poduzeti, već umjesto toga bilježi sva ograničenja koja bi se inače pojavila:
sudo aa-complain / put / u / binarno
Koristite program normalno neko vrijeme. Nakon što ga normalno koristite u načinu rada žalbe, pokrenite sljedeću naredbu za skeniranje sistemskih zapisa o pogreškama i ažuriranje profila:
sudo aa-logprof
Pomoću načina rada za prisilnu zabranu aplikacije
Nakon što završite s preciznim podešavanjem profila AppArmor, omogućite "provodi način" da biste zaključali aplikaciju:
sudo aa-prisiliti / put / do / binarno
Možda želite pokrenuti sudo aa-logprof naredbu da u budućnosti prilagodite svoj profil.
AppArmor profili su obične tekstualne datoteke, tako da ih možete otvoriti u uređivaču teksta i ručno ih podesiti. Međutim, gore navedeni uslužni programi vas vode kroz postupak.