2Jul
AppArmor låser programmer ned på dit Ubuntu-system, så de kun tillader de tilladelser, de har brug for ved normal brug - særligt nyttige til serverprogrammer, der kan blive kompromitteret. AppArmor indeholder enkle værktøjer, du kan bruge til at låse andre applikationer ned.
AppArmor er som standard inkluderet i Ubuntu og nogle andre Linux-distributioner. Ubuntu sender AppArmor med flere profiler, men du kan også oprette dine egne AppArmor profiler. AppArmor's værktøjer kan overvåge et programs udførelse og hjælpe dig med at oprette en profil.
Inden du opretter din egen profil til en applikation, kan du kontrollere apparmorprofilpakken i Ubuntu's repositorier for at se, om en profil til det program, du vil indstille, allerede eksisterer.
Opret &Kør en testplan
Du skal køre programmet, mens AppArmor ser det og går gennem alle sine normale funktioner. Grundlæggende bør du bruge programmet som det ville blive brugt til normal brug: Start programmet, stop det, genindlæs det og brug alle dets funktioner. Du skal designe en testplan, der går gennem de funktioner, programmet skal udføre.
Før du kører gennem din testplan, skal du starte en terminal og køre følgende kommandoer for at installere og køre aa-genprof:
sudo apt-get install apparmor-udils
sudo aa-genprof /path/to/ binær
Lad aa-genprof køre i terminalen,start programmet, og løft gennem testplanen du har designet ovenfor. Jo mere omfattende din testplan er, desto mindre problemer kommer du til senere.
Når du er færdig med at udføre din testplan, skal du vende tilbage til terminalen og trykke på S -tasten for at scanne systemloggen til AppArmor-begivenheder.
For hver begivenhed bliver du bedt om at vælge en handling. For eksempel kan vi se, at /usr/bin/ mand, som vi profilerede, udførte /usr/bin/ tbl. Vi kan vælge, om /usr/bin/ tbl skal arve /usr/bin/ mandens sikkerhedsindstillinger, om det skal køre med sin egen AppArmor-profil, eller om den skal køre i ubegrænset tilstand.
For nogle andre handlinger vil du se forskellige beskeder - her tillader vi adgang til /dev/ tty, en enhed, der repræsenterer terminalen
Ved afslutningen af processen bliver du bedt om at gemme din nye AppArmor-profil.
Aktivering af klagefunktion &Klipning af profilen
Når du har oprettet profilen, skal du sætte den i "klagemodus", hvor AppArmor ikke begrænser de handlinger, det kan tage, men logger i stedet nogen restriktioner, der ellers ville opstå:
sudo aa-complain /path/to/ binær
Brug programmet normaltfor en stund. Efter at have brugt det normalt i klagemodus, skal du køre følgende kommando for at scanne systemlogfilerne for fejl og opdatere profilen:
sudo aa-logprof
Brug Enforce-tilstand til at låse applikationen
Efter at du er færdigfineret med din AppArmor-profil, aktiver "håndhæv tilstand" for at låse programmet ned:
sudo aa-enforce /path/to/ binær
Du vil muligvis køre sudo aa-logprof kommandoen i fremtiden for at finjustere din profil.
AppArmor-profiler er almindelig tekstfiler, så du kan åbne dem i et tekstredigeringsprogram og tilpasse dem manuelt. Men hjælpeprogrammerne ovenfor styrer dig gennem processen.
