2Jul
AppArmor mengunci program pada sistem Ubuntu Anda, yang memungkinkan mereka hanya mengizinkan mereka dalam penggunaan normal - sangat berguna untuk perangkat lunak server yang dapat dikompromikan. AppArmor menyertakan alat sederhana yang dapat Anda gunakan untuk mengunci aplikasi lainnya.
AppArmor disertakan secara default di Ubuntu dan beberapa distro Linux lainnya. Ubuntu memasang AppArmor dengan beberapa profil, namun Anda juga dapat membuat profil AppArmor milik sendiri. Utilitas AppArmor dapat memantau eksekusi program dan membantu Anda membuat profil.
Sebelum membuat profil Anda sendiri untuk sebuah aplikasi, Anda mungkin ingin memeriksa paket apparmor-profiles di repositori Ubuntu untuk melihat apakah sebuah profil untuk aplikasi yang ingin Anda batalkan sudah ada.
Buat &Menjalankan Test Plan
Anda harus menjalankan program sementara AppArmor menonton dan berjalan melalui semua fungsi normalnya. Pada dasarnya, Anda harus menggunakan program ini karena akan digunakan dalam penggunaan normal: jalankan program ini, hentikan, muat ulang, dan gunakan semua fiturnya. Anda harus merancang rencana uji yang berjalan melalui fungsi yang perlu dilakukan program.
Sebelum menjalankan melalui test plan Anda, jalankan terminal dan jalankan perintah berikut untuk menginstal dan menjalankan aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof /path/to/ biner
Biarkan aa-genprof berjalan di terminal,jalankan program, dan jalankan melalui test plan yang Anda rancang di atas. Rencana pengujian Anda yang lebih komprehensif, semakin sedikit masalah yang akan Anda hadapi nanti.
Setelah selesai menjalankan rencana pengujian Anda, kembali ke terminal dan tekan tombol S untuk memindai log sistem untuk acara AppArmor.
Untuk setiap acara, Anda akan diminta untuk memilih tindakan. Sebagai contoh, di bawah ini kita bisa melihat bahwa man /usr/bin/, yang kita rekam, jalankan /usr/bin/ tbl. Kita dapat memilih apakah /usr/bin/ tbl harus mewarisi pengaturan keamanan manusia /usr/bin/, apakah itu harus dijalankan dengan profil AppArmor miliknya sendiri, atau apakah harus dijalankan dengan mode tidak terkunci.
Untuk beberapa tindakan lainnya, Anda akan melihat berbagai petunjuk - di sini kami mengizinkan akses ke /dev/ tty, perangkat yang mewakili terminal
Pada akhir proses, Anda akan diminta untuk menyimpan profil AppArmor baru Anda.
Mengaktifkan Complain Mode &Tweaking Profil
Setelah membuat profil, masukkan ke dalam "mode keluhan", di mana AppArmor tidak membatasi tindakan yang dapat dilakukan, namun log melakukan pembatasan yang seharusnya terjadi:
sudo aa-complain /path/to/ binary
Gunakan program ini secara normal.untuk sementara. Setelah menggunakannya secara normal dalam mode keluhan, jalankan perintah berikut untuk memindai log sistem Anda karena kesalahan dan perbarui profilnya:
sudo aa-logprof
Menggunakan Enforce Mode untuk Mengunci Aplikasi
Setelah selesai melakukan fine-tuning pada profil AppArmor Anda, aktifkan "enforce mode" untuk mengunci aplikasi:
sudo aa-enforce /path/to/ biner
Anda mungkin ingin menjalankan perintah sudo aa-logprof di masa depan untuk men-tweak profil Anda. Profil AppArmor
adalah file teks biasa, sehingga Anda dapat membukanya di editor teks dan men-tweaknya dengan tangan. Namun, utilitas di atas membimbing Anda melalui prosesnya.