2Jul
AppArmor bloquea los programas en su sistema Ubuntu, permitiéndoles solo los permisos que requieren en el uso normal, particularmente útil para el software del servidor que puede verse comprometido. AppArmor incluye herramientas simples que puede usar para bloquear otras aplicaciones.
AppArmor está incluido por defecto en Ubuntu y algunas otras distribuciones de Linux. Ubuntu envía AppArmor con varios perfiles, pero también puede crear sus propios perfiles de AppArmor. Las utilidades de AppArmor pueden monitorear la ejecución de un programa y ayudarlo a crear un perfil.
Antes de crear su propio perfil para una aplicación, es posible que desee comprobar el paquete apparmor-profiles en los repositorios de Ubuntu para ver si ya existe un perfil para la aplicación que desea confinar.
Crear y amp;Ejecución de un plan de prueba
Tendrá que ejecutar el programa mientras AppArmor lo está mirando y recorriendo todas sus funciones normales. Básicamente, debe usar el programa como se usaría en el uso normal: inicie el programa, deténgalo, vuelva a cargarlo y use todas sus funciones. Debe diseñar un plan de prueba que pase por las funciones que el programa necesita realizar.
Antes de ejecutar su plan de prueba, inicie una terminal y ejecute los siguientes comandos para instalar y ejecutar aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof /path/to/ binario
Deje aa-genprof ejecutándose en la terminal,inicie el programa y ejecute el plan de prueba que diseñó arriba. Cuanto más completo sea su plan de prueba, menos problemas encontrará más adelante.
Una vez que haya terminado de ejecutar su plan de prueba, regrese a la terminal y presione la tecla S para escanear el registro del sistema en busca de eventos de AppArmor.
Para cada evento, se le pedirá que elija una acción. Por ejemplo, a continuación podemos ver que el hombre /usr/bin/, que hemos perfilado, ejecutó /usr/bin/ tbl. Podemos seleccionar si /usr/bin/ tbl debe heredar la configuración de seguridad del hombre /usr/bin/, si debe ejecutarse con su propio perfil AppArmor o si debe ejecutarse en modo no confinado.
Para algunas otras acciones, verá diferentes mensajes: aquí estamos permitiendo el acceso a /dev/ tty, un dispositivo que representa el terminal
. Al final del proceso, se le pedirá que guarde su nuevo perfil de AppArmor.
Habilitación del modo quejarse &Ajustar el perfil
Después de crear el perfil, colóquelo en "modo de queja", donde AppArmor no restringe las acciones que puede tomar, sino que registra las restricciones que de otro modo se producirían:
sudo aa-query /path/to/
binario Utilice el programa normalmentepor un momento. Después de usarlo normalmente en el modo quejarse, ejecute el siguiente comando para analizar los registros del sistema en busca de errores y actualice el perfil:
sudo aa-logprof
Uso del modo Enforce para bloquear la aplicación
Después de que haya terminado de ajustar su perfil de AppArmor, habilite "enforce mode" para bloquear la aplicación:
sudo aa-forzar /path/to/ binary
Es posible que desee ejecutar el comando sudo aa-logprof en el futuro para ajustar su perfil.
Los perfiles de AppArmor son archivos de texto sin formato, por lo que puede abrirlos en un editor de texto y modificarlos manualmente. Sin embargo, las utilidades anteriores lo guían a través del proceso.