2Jul
AppArmor sulkee ohjelmat Ubuntu-järjestelmään ja sallii heille vain käyttöoikeudet, joita he tarvitsevat normaalissa käytössä - erityisen hyödyllisiä palvelinohjelmistoille, jotka saattavat vaarantua. AppArmor sisältää yksinkertaisia työkaluja, joiden avulla voit lukita muita sovelluksia.
AppArmor sisältyy oletusarvoisesti Ubuntuun ja muihin Linux-jakeluihin. Ubuntu toimittaa AppArmorin useita profiileja, mutta voit myös luoda omia AppArmor-profiileitasi. AppArmorin apuohjelmat voivat seurata ohjelman suorittamista ja auttaa sinua luomaan profiilin.
Ennen kuin luodaan oma profiili sovellukselle, voit tarkistaa apparmor-profiilien paketin Ubuntun arkistoista nähdäksesi, onko sovellukselle profiili, jonka haluat rajata, jo olemassa.
Luo &Testisuunnitelman suorittaminen
Sinun on suoritettava ohjelma, kun AppArmor tarkkailee sitä ja kulkee läpi kaikki tavanomaiset toiminnot. Periaatteessa sinun pitäisi käyttää ohjelmaa sellaisena kuin sitä käytetään normaalissa käytössä: käynnistää ohjelma, pysäyttää se, ladata se uudelleen ja käyttää kaikkia sen ominaisuuksia. Sinun pitäisi suunnitella testisuunnitelma, joka kulkee ohjelmiston suorittamien toimintojen läpi.
Suorita asennus ja suorittaminen aa-genprof: lla:
sudo apt-get asenna apparmor-utils
sudo aa-genprof /path/to/ binääri
Jätä aa-genprof käynnissä päätelaitteessa,aloittaa ohjelman ja suorittaa edellä suunnitellun testaussuunnitelman. Mitä kattavampi testaussuunnitelma on, sitä vähemmän ongelmia sinua myöhemmin.
Kun olet suorittanut testisuunnitelman, palaa päätelaitteeseen ja paina S -näppäintä skannaamaan AppArmor-tapahtumien järjestelmälogi.
Jokaista tapahtumaa varten sinua pyydetään valitsemaan jokin toiminto. Esimerkiksi alla voi nähdä, että /usr/bin/-mies, jonka profiilimme, suoritti /usr/bin/ tbl. Voimme valita, pitäisikö /usr/bin/ tbl periä /usr/bin/-ihmisen tietoturva-asetuksia, olisiko se suoritettava omalla AppArmor-profiilillaan vai pitäisikö se toimia epätarkatilassa.
Joidenkin muiden toimien kohdalla näet erilaisia kehotteita - tässä voimme sallia /dev/ tty: n, joka edustaa päätelaitetta
Prosessin lopussa sinua pyydetään tallentamaan uusi AppArmor-profiili.
Valituksen tila &Profiilin muokkaaminen
Kun olet luonut profiilin, laita se "valitustilaan", jossa AppArmor ei rajoita toimia, joita se voi tehdä, vaan kirjaa muuten rajoittavia rajoituksia:
sudo aa-valittaa /path/to/ binääri
Käytä ohjelmaa normaalistihetkisen. Kun olet käyttänyt sitä normaalisti valitustilassa, suorita seuraava komento skannaamaan järjestelmän lokitiedostoja virheisiin ja päivittämällä profiili:
sudo aa-logprof
Sovellus pakottaa sovelluksen lukitsemaan
Kun olet tehnyt AppArmor-profiilin hienosäätöä, ota käyttöön "enforce mode" -toiminto lukitsemaan sovellus:
sudo aa-enforce /path/to/ binäärinen
Voit halutessasi suorittaa -sudo aa-logprof -komennon tulevaisuudessa nipistämään profiilia.
AppArmor-profiilit ovat tavallisia tekstitiedostoja, joten voit avata ne tekstieditorissa ja hienosäätää niitä käsin. Edellä olevat apuohjelmat ohjaavat sinut prosessin läpi.
