2Jul
AppArmor uzamkne programy v systému Ubuntu a umožní jim pouze oprávnění, která vyžadují při běžném používání, což je obzvláště užitečné pro serverový software, který může být ohrožen. AppArmor obsahuje jednoduché nástroje, které můžete použít k uzamčení dalších aplikací.
AppArmor je ve výchozím nastavení součástí Ubuntu a některých dalších distribucí Linuxu. Ubuntu dodává AppArmor s několika profily, ale můžete si také vytvořit své vlastní profily AppArmor. Pomůcky společnosti AppArmor mohou sledovat provádění programu a pomáhat vám vytvořit profil.
Než vytvoříte svůj vlastní profil aplikace, můžete si prohlédnout balíček apparmor-profiles v úložištích Ubuntu, abyste zjistili, zda již existuje profil pro aplikaci, kterou chcete omezit.
Vytvořit &Spuštění testovacího plánu
Budete muset spustit program, zatímco AppArmor jej sleduje a prochází všemi normálními funkcemi. V zásadě byste měli používat program tak, jak by ho používali při běžném používání: spuštění programu, jeho zastavení, opětovné načtení a používání všech jeho funkcí.Měli byste navrhnout plán testů, který prochází funkcemi, které musí program provádět.
Před spuštěním testovacího plánu spusťte terminál a spusťte následující příkazy k instalaci a spuštění aa-genprof:
sudo apt-get instalace apparmor-utils
sudo aa-genprof /path/to/ binární
Ponechte aa-genprof běžící v terminálu,spusťte program a spusťte testovací plán, který jste navrhli výše.Čím komplexnější bude váš testovací plán, tím méně problémů se objevíte později.
Po dokončení testovacího plánu se vrátíte do terminálu a stisknete klávesu S pro skenování systémového protokolu událostí AppArmor.
Pro každou událost budete vyzváni k výběru akce. Například níže vidíme, že /usr/bin/ člověk, který jsme profilovali, provedl /usr/bin/ tbl. Můžeme zvolit, zda by /usr/bin/ tbl měl dědit bezpečnostní nastavení uživatele /usr/bin/, ať už by měl fungovat s vlastním profilem AppArmor, nebo zda by měl běžet v neomezeném režimu.
U některých dalších akcí se zobrazí různé výzvy - zde povolujeme přístup k /dev/ tty, zařízení, které představuje terminál
. Na konci procesu budete vyzváni k uložení nového profilu AppArmor.
Povolení režimu Complain &Upravování profilu
Po vytvoření profilu jej vložte do režimu "stížností", kde AppArmor neomezuje akce, které může trvat, ale místo toho zaznamenává všechna omezení, která by jinak nastala:
sudo aa-stížnost /path/to/ binární
Program použijte normálněna chvíli. Po použití normálně v režimu stížnosti spusťte následující příkaz pro kontrolu systémových protokolů o chybách a aktualizaci profilu:
sudo aa-logprof
Použití režimu vynucení pro uzamčení aplikace
Po dokončení jemného ladění profilu AppArmor, povolit režim vynutit uzamčení aplikace:
sudo aa-enforce /path/to/ binární
Možná budete chtít v budoucnu spustit příkaz sudo aa-logprof , abyste svůj profil vyladili. Profily
AppArmor jsou soubory prostého textu, takže je můžete otevřít v textovém editoru a vyladit je ručně.Ovšem výše popsané nástroje vás vedou procesem.