2Jul
AppArmor lukustab teie Ubuntu süsteemi programme, võimaldades neil kasutada ainult nende tavapärasel kasutamisel nõutavaid õigusi - eriti kasulik serveritarkvarale, mis võib saada ohtu. AppArmor sisaldab lihtsaid tööriistu, mida saate kasutada teiste rakenduste lukustamiseks.
AppArmor on vaikimisi kaasatud Ubuntu ja mõnda teist Linuxi distributsiooni. Ubuntu edastab AppArmorile mitut profiili, kuid saate luua ka oma AppArmori profiile. AppArmori kommunaalkulud saavad jälgida programmi täitmist ja aidata teil luua profiili.
Enne rakenduse enda profiili loomist võite vaadata Ubuntu hoidlates olevat apparmor-profiilide paketti, et näha, kas rakenduse profiil, mille soovite piirata, on juba olemas.
Loo &Testplaani käitamine
Peate käivitama programmi, kui AppArmor seda vaatab ja kõnnib läbi kõik oma tavapärased funktsioonid. Põhimõtteliselt peaksite seda programmi kasutama nii, nagu seda tavapärases kasutuses kasutatakse: käivitage programm, peatage see, laadige see uuesti ja kasutage kõiki selle funktsioone. Sa peaksid kavandama katseplaani, mis läbib funktsioone, mida programm peab täitma.
Enne katseplaani käivitamist käivitage terminal ja käivitage järgmised käsklused, et installida ja käivitada aa-genprof:
sudo apt-get installi seadmestused
sudo aa-genprof /path/to/ binaar
Jäta terminali tööle aa-genprof,käivitage programm ja proovige läbi ülaltoodud katseplaani. Mida täpsem on teie testplaan, seda vähem probleeme hakkate hilisemaks saama.
Kui olete katseplaani täitmise lõpetanud, pöörduge terminali tagasi ja vajutage rakenduse AppArmor sündmuste süsteemi logi skannimiseks S klahvi.
Iga sündmuse jaoks palutakse teil valida toiming. Näiteks allpool näeme, et /usr/bin/ meister, mille me profiili koostasime, käivitas /usr/bin/ tbl. Me saame valida, kas /usr/bin/ tbl peaks pärima /usr/bin/ mehe turvaseadeid, kas see peaks töötama oma AppArmori profiiliga või kas see peaks toimima mittekonfigureeritud režiimis.
Teiste muude toimingute jaoks näete erinevaid viipasid - siin lubame juurdepääsu /dev/ tty-le, mis tähistab terminali
. Protsessi lõpus palutakse teil salvestada uus AppArmori profiil.
Kaebuse režiimi lubamine &Profiili tihendamine
Pärast profiili loomist pane see "kaebamise režiimi", kus AppArmor ei piira toiminguid, mida ta võib võtta, vaid registreerib kõik muud piirangud, mis muidu toimuksid:
sudo aa-complain /path/to/ binaar
Kasutage programmi tavaliseltmõneks ajaks. Pärast seda, kui kasutate seda tavapäraselt kaebamise režiimis, käivitage järgmine süsteemis logide skannimiseks vigade tuvastamine ja profiili värskendamine:
sudo aa-logprof
Rakenduse Enfortion Mode kasutamine rakenduse
lukustamiseks Kui olete oma AppArmori profiili peenhäälestanudlubage rakenduse lukustamiseks rakenduse "jõustamise režiim":
sudo aa-enforce /path/to/ binaarne
Võib-olla soovite käivitada sudo aa-logprof käsu tulevikus teie profiili häälestamiseks.
AppArmor-profiilid on tavalised tekstifailid, nii et saate neid tekstiredaktoris avada ja neid käsitsi häälestada. Kuid eelpool toodud kommunikatsioonid suunavad teid protsessi läbi.