2Jul
AppArmor zaključava programe na vašem Ubuntu sustavu, dopuštajući im samo dopuštenja koja im je potrebna u uobičajenoj uporabi - naročito korisna za softver poslužitelja koji može biti ugrožena. AppArmor uključuje jednostavne alate pomoću kojih možete zaključati druge aplikacije.
AppArmor je standardno uključen u Ubuntu i nekim drugim Linux distribucijama. Ubuntu isporučuje AppArmor s nekoliko profila, ali možete stvoriti i vlastite AppArmor profile. AppArmorovi programi mogu pratiti izvršenje programa i pomoći vam u stvaranju profila.
Prije stvaranja svoj profil za određenu aplikaciju, vi svibanj želite provjeriti AppArmor-profila paket u Ubuntu repozitorija li profil za program koji želite ograničiti već postoji.
Stvaranje &Pokretanje probnog plana
Morat ćete pokrenuti program dok ga AppArmor promatra i prolazi kroz sve normalne funkcije. U osnovi, trebali biste koristiti program kao što će se koristiti u uobičajenoj uporabi: pokrenite program, zaustavite ga, ponovno učitajte i koristite sve njegove mogućnosti. Trebali biste izraditi testni plan koji prolazi kroz funkcije koje program treba izvesti.
Prije trčanje kroz vaš plan testiranja, pokrenuti terminal i pokrenite sljedeće naredbe za instalirati i pokrenuti AA-genprof:
sudo apt-get install AppArmor-utils
sudo aa-genprof /path/to/ binarni
Ostavite AA-genprof radi u terminalu,pokrenite program i pokrenite testni plan koji ste izradili gore.Što je sveobuhvatniji vaš plan testiranja, to će manje problema biti kasnije.
Kad završite s testnim planom, vratite se na terminal i pritisnite tipku S da biste skenirali zapisnik sustava za AppArmor događaje.
Za svaki događaj, od vas će se tražiti da odaberete neku radnju. Na primjer, ispod možemo vidjeti da je /usr/bin/ čovjek, koji smo profilirali, izvršili /usr/bin/ tbl. Možemo odabrati hoće li /usr/bin/ tbl naslijediti sigurnosne postavke /usr/bin/ čovjeka, bez obzira treba li se pokrenuti s vlastitim AppArmor profilom, ili treba li se pokrenuti u nekonfinirajućem načinu rada.
Za neke druge radnje, vidjet ćete različite upite - tu smo mi omogućava pristup do /dev/ tty, uređaj koji predstavlja terminal
na kraju procesa, vi ćete biti zatraženo da spasi svoj novi AppArmor profil.
Omogućavanje Način žalbe &Ugađati profil
Nakon kreiranja profila, stavi ga u „žale modu”, gdje AppArmor ne ograničavaju radnje koje može poduzeti, ali umjesto toga prijavljuje sva ograničenja koja bi se inače javljaju:
sudo aa-žaliti /path/to/ binarni
koristiti program normalnoneko vrijeme. Nakon što ga koristi obično u žale način, pokrenite sljedeću naredbu za skeniranje zapisnike sustava za pogreške i ažuriranje profila:
sudo aa-logprof
Korištenje provođenje Mode Lock Down the Application
Nakon što ste učinili fino ugađanje vaš AppArmor profil, omogućiti „nametnuti način” zaključati dolje prijavu:
sudo aa-nametnuti /path/to/ binarni
možda želite pokrenuti sudo aa-logprof naredbu u budućnosti za ugađanje vaš profil.
AppArmor profili su obične tekstualne datoteke, tako da ih možete otvoriti u uređivaču teksta i prilagođavati ih ručno. Međutim, gornje uslužne jedinice vode vas kroz postupak.