Kotisivu » miten » AppArmor-profiilien luominen ohjelmien lukitsemiseksi Ubuntuun

    AppArmor-profiilien luominen ohjelmien lukitsemiseksi Ubuntuun

    AppArmor lukitsee ohjelmat Ubuntu-järjestelmässäsi, jolloin ne voivat käyttää vain oikeuksia, joita ne tarvitsevat normaalissa käytössä - erityisen hyödyllisiä palvelinohjelmistolle, joka saattaa vaarantua. AppArmor sisältää yksinkertaisia ​​työkaluja, joilla voit lukita muita sovelluksia.

    AppArmor on oletusarvoisesti mukana Ubuntuissa ja joissakin muissa Linux-jakeluissa. Ubuntu lähettää AppArmorin useille profiileille, mutta voit myös luoda omia AppArmor-profiileja. AppArmorin apuohjelmat voivat seurata ohjelman toteutusta ja auttaa luomaan profiilin.

    Ennen kuin luodat oman profiilin sovellukselle, voit tarkistaa Apparmor-profiilit-paketin Ubuntu-tallennustiloissa ja tarkistaa, onko olemassa olevan sovelluksen profiili jo olemassa.

    Luo ja suorita testisuunnitelma

    Sinun täytyy suorittaa ohjelma, kun AppArmor katselee sitä ja kävelee läpi kaikki sen normaalit toiminnot. Periaatteessa sinun pitäisi käyttää ohjelmaa sellaisena kuin sitä käytettäisiin normaalissa käytössä: käynnistä ohjelma, pysäytä se, lataa se uudelleen ja käytä kaikkia sen ominaisuuksia. Sinun pitäisi suunnitella testisuunnitelma, joka kulkee ohjelman toimintojen läpi.

    Ennen kuin käytät testisuunnitelmaa, käynnistä terminaali ja suorita seuraavat komennot aa-genprofin asentamiseen ja suorittamiseen:

    sudo apt-get install apparmor-utils

    sudo aa-genprof / polku / to / binary

    Jätä aa-genprof käynnissä päätelaitteessa, käynnistä ohjelma ja suorita yllä suunniteltu testisuunnitelma. Mitä kattavampi testisuunnitelma on, sitä vähemmän ongelmia saat myöhemmin.

    Kun olet suorittanut testisuunnitelman suorittamisen, palaa päätteeseen ja paina S -näppäimen avulla voit tarkistaa AppArmor-tapahtumien järjestelmän lokin.

    Jokaisesta tapahtumasta sinua pyydetään valitsemaan toiminto. Esimerkiksi alla näemme, että / usr / bin / man, jonka profiloimme, toteutti / usr / bin / tbl. Voimme valita, pitäisikö / usr / bin / tbl periä / usr / bin / man-tietoturva-asetukset, onko sen pitäisi toimia omalla AppArmor-profiilillaan vai pitäisikö sen käyttää määrittämättömässä tilassa.

    Joillakin muilla toimilla näet erilaisia ​​kehotteita - täällä sallimme pääsyn / dev / tty-laitteeseen, joka edustaa terminaalia

    Prosessin lopussa sinua pyydetään tallentamaan uusi AppArmor-profiili.

    Kannustustilan ja profiilin säätämisen mahdollistaminen

    Kun olet luonut profiilin, aseta se ”valittavaksi”, jossa AppArmor ei rajoita sen toteuttamia toimia, vaan kirjaa kaikki rajoitukset, jotka muuten tapahtuisivat:

    sudo aa-sūdzin / polku / to / binary

    Käytä ohjelmaa normaalisti jonkin aikaa. Kun olet käyttänyt sitä normaalisti valitusmoodissa, suorita seuraava komento, kun haluat tarkistaa järjestelmän lokit virheistä ja päivittää profiilin:

    sudo aa-logprof

    Käyttämällä Enforce-tilaa sovelluksen lukitseminen

    Kun olet lopettanut AppArmor-profiilin hienosäätöä, ota käyttöön valvontatila, kun haluat lukita sovelluksen:

    sudo aa-enforce / path / to / binary

    Saatat haluta suorittaa sudo aa-logprof komento tulevaisuudessa säätää profiiliasi.


    AppArmorin profiilit ovat tavallisia tekstitiedostoja, joten voit avata ne tekstieditorissa ja muokata niitä käsin. Yllä olevat apuohjelmat ohjaavat kuitenkin prosessia.