2Jul
AppArmor κλειδώνει προγράμματα στο σύστημά σας Ubuntu, επιτρέποντάς τους μόνο τα δικαιώματα που χρειάζονται σε κανονική χρήση - ιδιαίτερα χρήσιμα για λογισμικό διακομιστή που ενδέχεται να καταστραφούν.Το AppArmor περιλαμβάνει απλά εργαλεία που μπορείτε να χρησιμοποιήσετε για να κλειδώσετε άλλες εφαρμογές.Το
AppArmor περιλαμβάνεται από προεπιλογή στο Ubuntu και σε ορισμένες άλλες διανομές Linux.Το Ubuntu μεταφέρει AppArmor με διάφορα προφίλ, αλλά μπορείτε επίσης να δημιουργήσετε τα δικά σας προφίλ AppArmor.Τα βοηθητικά προγράμματα της AppArmor μπορούν να παρακολουθήσουν την εκτέλεση ενός προγράμματος και να σας βοηθήσουν να δημιουργήσετε ένα προφίλ.
Πριν δημιουργήσετε το δικό σας προφίλ για μια εφαρμογή, ίσως θελήσετε να ελέγξετε το πακέτο apparmor-profiles στα αποθετήρια του Ubuntu για να δείτε εάν υπάρχει ήδη ένα προφίλ για την εφαρμογή που θέλετε να περιορίσετε.
Δημιουργία &Εκτέλεση σχεδίου δοκιμής
Θα χρειαστεί να εκτελέσετε το πρόγραμμα ενώ το AppArmor το παρακολουθεί και να περπατήσει μέσα από όλες τις κανονικές λειτουργίες του.Βασικά, θα πρέπει να χρησιμοποιήσετε το πρόγραμμα όπως θα χρησιμοποιηθεί σε κανονική χρήση: ξεκινήστε το πρόγραμμα, σταματήστε, επανατοποθετήστε και χρησιμοποιήστε όλες τις δυνατότητές του.Θα πρέπει να σχεδιάσετε ένα σχέδιο δοκιμών που να περνάει από τις λειτουργίες που πρέπει να εκτελέσει το πρόγραμμα.
Πριν εκτελέσετε το πρόγραμμά σας δοκιμής, ξεκινήστε ένα τερματικό και εκτελέστε τις παρακάτω εντολές για να εγκαταστήσετε και να εκτελέσετε aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof /path/to/ δυαδικό
Αφήστε aa-genprof να τρέξει στο τερματικό,ξεκινήστε το πρόγραμμα και εκτελέστε το σχέδιο δοκιμής που σχεδιάσατε παραπάνω.Όσο πληρέστερο το σχέδιο δοκιμής σας, τόσο λιγότερα προβλήματα θα αντιμετωπίσετε αργότερα.
Αφού ολοκληρώσετε την εκτέλεση του σχεδίου δοκιμής, επιστρέψτε στο τερματικό και πατήστε το πλήκτρο S για να σαρώσετε το αρχείο καταγραφής συστήματος για συμβάντα AppArmor.
Για κάθε συμβάν, θα σας ζητηθεί να επιλέξετε μια ενέργεια.Για παράδειγμα, παρακάτω μπορούμε να δούμε ότι ο άνθρωπος /usr/bin/, τον οποίο παρουσιάσαμε, εκτελέστηκε το /usr/bin/ tbl.Μπορούμε να επιλέξουμε αν το /usr/bin/ tbl πρέπει να κληρονομήσει τις ρυθμίσεις ασφαλείας του /usr/bin/, αν πρέπει να τρέχει με το δικό του προφίλ AppArmor ή αν πρέπει να τρέχει σε απεριόριστη λειτουργία.
Για κάποιες άλλες ενέργειες, θα δείτε διαφορετικές υποδείξεις - εδώ επιτρέπουμε την πρόσβαση στο /dev/ tty, μια συσκευή που αντιπροσωπεύει το τερματικό
Στο τέλος της διαδικασίας, θα σας ζητηθεί να αποθηκεύσετε το νέο σας προφίλ AppArmor.
Ενεργοποίηση λειτουργίας καταγγελίας &Προσαρμογή του Προφίλ
Αφού δημιουργήσετε το προφίλ, τοποθετήστε το σε κατάσταση "διαμαρτυρίας", όπου το AppArmor δεν περιορίζει τις ενέργειες που μπορεί να πάρει αλλά αντίθετα καταγράφει τυχόν περιορισμούς που διαφορετικά θα προέκυπταν:
sudo aa-complain /path/to/ δυαδικό
Χρησιμοποιήστε το πρόγραμμα κανονικάγια λίγο.Αφού το χρησιμοποιήσετε κανονικά σε κατάσταση παραπόνων, εκτελέστε την ακόλουθη εντολή για να σαρώσετε τα αρχεία καταγραφής του συστήματος σας για σφάλματα και να ενημερώσετε το προφίλ:
sudo aa-logprof
Χρήση της λειτουργίας επιβολής για να κλειδώσετε την εφαρμογή
Αφού ολοκληρώσετε την τελειοποίηση του προφίλ AppArmor, ενεργοποιήστε τη λειτουργία "επιβολή" για να κλειδώσετε την εφαρμογή:
sudo aa-enforce /path/to/ δυαδική
Μπορεί να θέλετε να εκτελέσετε την εντολή sudo aa-logprof στο μέλλον για να τροποποιήσετε το προφίλ σας.Τα προφίλ
AppArmor είναι αρχεία απλού κειμένου, ώστε να μπορείτε να τα ανοίγετε σε ένα πρόγραμμα επεξεργασίας κειμένου και να τα τροποποιήσετε με το χέρι.Ωστόσο, οι βοηθητικές εφαρμογές παραπάνω σας καθοδηγούν στη διαδικασία.