AppArmor-profiilien luominen ohjelmien lukitsemiseksi Ubuntuun
AppArmor lukitsee ohjelmat Ubuntu-järjestelmässäsi, jolloin ne voivat käyttää vain oikeuksia, joita ne tarvitsevat normaalissa käytössä - erityisen hyödyllisiä palvelinohjelmistolle, joka saattaa vaarantua. AppArmor sisältää yksinkertaisia työkaluja, joilla voit lukita muita sovelluksia.
AppArmor on oletusarvoisesti mukana Ubuntuissa ja joissakin muissa Linux-jakeluissa. Ubuntu lähettää AppArmorin useille profiileille, mutta voit myös luoda omia AppArmor-profiileja. AppArmorin apuohjelmat voivat seurata ohjelman toteutusta ja auttaa luomaan profiilin.
Ennen kuin luodat oman profiilin sovellukselle, voit tarkistaa Apparmor-profiilit-paketin Ubuntu-tallennustiloissa ja tarkistaa, onko olemassa olevan sovelluksen profiili jo olemassa.
Luo ja suorita testisuunnitelma
Sinun täytyy suorittaa ohjelma, kun AppArmor katselee sitä ja kävelee läpi kaikki sen normaalit toiminnot. Periaatteessa sinun pitäisi käyttää ohjelmaa sellaisena kuin sitä käytettäisiin normaalissa käytössä: käynnistä ohjelma, pysäytä se, lataa se uudelleen ja käytä kaikkia sen ominaisuuksia. Sinun pitäisi suunnitella testisuunnitelma, joka kulkee ohjelman toimintojen läpi.
Ennen kuin käytät testisuunnitelmaa, käynnistä terminaali ja suorita seuraavat komennot aa-genprofin asentamiseen ja suorittamiseen:
sudo apt-get install apparmor-utils
sudo aa-genprof / polku / to / binary
Jätä aa-genprof käynnissä päätelaitteessa, käynnistä ohjelma ja suorita yllä suunniteltu testisuunnitelma. Mitä kattavampi testisuunnitelma on, sitä vähemmän ongelmia saat myöhemmin.
Kun olet suorittanut testisuunnitelman suorittamisen, palaa päätteeseen ja paina S -näppäimen avulla voit tarkistaa AppArmor-tapahtumien järjestelmän lokin.
Jokaisesta tapahtumasta sinua pyydetään valitsemaan toiminto. Esimerkiksi alla näemme, että / usr / bin / man, jonka profiloimme, toteutti / usr / bin / tbl. Voimme valita, pitäisikö / usr / bin / tbl periä / usr / bin / man-tietoturva-asetukset, onko sen pitäisi toimia omalla AppArmor-profiilillaan vai pitäisikö sen käyttää määrittämättömässä tilassa.
Joillakin muilla toimilla näet erilaisia kehotteita - täällä sallimme pääsyn / dev / tty-laitteeseen, joka edustaa terminaalia
Prosessin lopussa sinua pyydetään tallentamaan uusi AppArmor-profiili.
Kannustustilan ja profiilin säätämisen mahdollistaminen
Kun olet luonut profiilin, aseta se ”valittavaksi”, jossa AppArmor ei rajoita sen toteuttamia toimia, vaan kirjaa kaikki rajoitukset, jotka muuten tapahtuisivat:
sudo aa-sūdzin / polku / to / binary
Käytä ohjelmaa normaalisti jonkin aikaa. Kun olet käyttänyt sitä normaalisti valitusmoodissa, suorita seuraava komento, kun haluat tarkistaa järjestelmän lokit virheistä ja päivittää profiilin:
sudo aa-logprof
Käyttämällä Enforce-tilaa sovelluksen lukitseminen
Kun olet lopettanut AppArmor-profiilin hienosäätöä, ota käyttöön valvontatila, kun haluat lukita sovelluksen:
sudo aa-enforce / path / to / binary
Saatat haluta suorittaa sudo aa-logprof komento tulevaisuudessa säätää profiiliasi.
AppArmorin profiilit ovat tavallisia tekstitiedostoja, joten voit avata ne tekstieditorissa ja muokata niitä käsin. Yllä olevat apuohjelmat ohjaavat kuitenkin prosessia.