Úvodná » ako » Ako vytvoriť profily AppArmor na uzamknutie programov v Ubuntu

    Ako vytvoriť profily AppArmor na uzamknutie programov v Ubuntu

    Program AppArmor zablokuje programy v systéme Ubuntu a umožňuje im len povolenia, ktoré vyžadujú pri bežnom používaní - obzvlášť užitočné pre serverový softvér, ktorý môže byť ohrozený. AppArmor obsahuje jednoduché nástroje, ktoré môžete použiť na uzamknutie iných aplikácií.

    AppArmor je štandardne zahrnutý v Ubuntu a niektorých ďalších distribuciách Linuxu. Ubuntu sa dodáva AppArmor s niekoľkými profilmi, ale môžete si tiež vytvoriť vlastné profily AppArmor. Pomôcky aplikácie AppArmor môžu sledovať vykonávanie programu a pomôcť vám vytvoriť profil.

    Pred vytvorením vlastného profilu aplikácie môžete skontrolovať balík apparmor-profiles v úložiskách Ubuntu a zistiť, či profil pre aplikáciu, ktorú chcete obmedziť, už existuje.

    Vytvorenie a spustenie testovacieho plánu

    Budete musieť spustiť program, zatiaľ čo AppArmor ho sleduje a prechádza cez všetky jeho bežné funkcie. V podstate by ste mali program používať tak, ako by sa používal pri bežnom používaní: spustite program, zastavte ho, znovu ho načítajte a použite všetky jeho funkcie. Mali by ste navrhnúť plán testovania, ktorý prechádza cez funkcie, ktoré program potrebuje na vykonanie.

    Pred spustením plánu testov spustite terminál a spustite nasledujúce príkazy na inštaláciu a spustenie aa-genprof:

    sudo apt-get nainštalovať apparmor-utils

    sudo aa-genprof / cesta / do / binárne

    Nechajte aa-genprof bežať v termináli, spustite program a spustite plán testovania, ktorý ste navrhli vyššie. Čím komplexnejší je váš testovací plán, tým menej problémov budete neskôr.

    Po dokončení testovacieho plánu sa vráťte do terminálu a stlačte tlačidlo S kľúč na skenovanie systémového denníka pre udalosti AppArmor.

    Pre každú udalosť sa zobrazí výzva na výber akcie. Napríklad nižšie vidíme, že / usr / bin / man, ktorý sme profilovali, vykonali / usr / bin / tbl. Môžeme si vybrať, či / usr / bin / tbl by mal zdediť / usr / bin / man's security settings, či by mal bežať s vlastným profilom AppArmor, alebo či by mal bežať v nekonfigurovanom režime.

    Pre niektoré ďalšie akcie uvidíte rôzne výzvy - tu povolíme prístup k / dev / tty, zariadeniu, ktoré predstavuje terminál

    Na konci procesu sa zobrazí výzva na uloženie nového profilu AppArmor.

    Povolenie režimu Complain a nastavenie profilu

    Po vytvorení profilu ho umiestnite do režimu "sťažnosti", kde AppArmor neobmedzuje akcie, ktoré môže trvať, ale namiesto toho zaznamená všetky obmedzenia, ktoré by inak nastali:

    sudo aa-sťažnosť / cesta / do / binárne

    Normálne používajte program na chvíľu. Po jeho bežnom používaní v režime sťažnosti spustite nasledujúci príkaz na skenovanie systémových denníkov pre chyby a aktualizáciu profilu:

    sudo aa-logprof

    Použitie režimu vynútenia na uzamknutie aplikácie

    Po dokončení jemného ladenia vášho profilu AppArmor povoľte aplikácii "enforce mode" uzamknúť aplikáciu:

    sudo aa-enforce / cesta / do / binárne

    Možno budete chcieť spustiť sudo aa-logprof v budúcnosti, aby ste vylepšili svoj profil.


    Profily AppArmor sú textové súbory, takže ich môžete otvoriť v textovom editore a vyladiť ich ručne. Nástroje vyššie uvedené vás však vedú celým procesom.