2Jul
AppArmor מנע תוכניות למטה במערכת שלך אובונטו, ומאפשר להם רק את ההרשאות הדרושות להם בשימוש רגיל - שימושי במיוחד עבור תוכנת השרת שעלול להיות בסכנה.AppArmor כולל כלים פשוטים אתה יכול להשתמש כדי לנעול את היישומים האחרים.
AppArmor נכלל כברירת מחדל באובונטו ובהפצות לינוקס אחרות.אובונטו שולחת את AppArmor עם מספר פרופילים, אך ניתן גם ליצור פרופילי AppArmor משלך.כלי השירות של AppArmor יכולים לעקוב אחר ביצוע התוכנית ולעזור לך ליצור פרופיל.
לפני יצירת פרופיל משלך ליישום, ייתכן שתרצה לבדוק את חבילת הפרופילים הזוהרים במאגרי הנתונים של אובונטו כדי לראות אם קיים כבר פרופיל עבור היישום שברצונך להגביל.
יצירה &הפעלת תוכנית בדיקה
יהיה עליך להפעיל את התוכנית בעוד AppArmor הוא צופה בו לעבור את כל הפונקציות הרגילות שלה.בעיקרון, אתה צריך להשתמש בתוכנית כפי שהיא תהיה בשימוש רגיל להשתמש: להפעיל את התוכנית, לעצור אותו, לטעון אותו מחדש, ולהשתמש בכל התכונות שלו.אתה צריך לעצב תוכנית הבדיקה שעובר את הפונקציות התוכנית צריכה לבצע.
לפני הפעלת תוכנית הבדיקה, הפעל את המסוף והפעל את הפקודות הבאות להתקנה ולהפעלה של aa-genprof:
sudo apt-get install apparmor-utils
sudo aa-genprof /path/to/ בינארי
השאר את aa-genprof פועל במסוף,להפעיל את התוכנית, ולהפעיל את תוכנית הבדיקה שתכננת לעיל.ככל שתוכנית הבדיקה תהיה מקיפה יותר, כך תתקלנה פחות בעיה.
לאחר שתסיים לבצע את תוכנית הבדיקה, חזור למסוף ולחץ על מקש S כדי לסרוק את יומן המערכת עבור אירועי AppArmor.
עבור כל אירוע, תתבקש לבחור פעולה.לדוגמה, להלן אנו יכולים לראות כי אדם /usr/bin/, אשר אנו profiled, הוצא להורג /usr/bin/ tbl.אנו יכולים לבחור האם /usr/bin/ tbl יירש את הגדרות האבטחה של האדם, אם הוא יפעל עם פרופיל AppArmor שלו, או אם הוא אמור לפעול במצב לא מוגדר.
עבור פעולות אחרות, תראה הנחיות שונות - כאן אנו מאפשרים גישה אל /dev/ tty, מכשיר המייצג את הטרמינל
בסוף התהליך תתבקש לשמור את פרופיל AppArmor החדש שלך.
הפעלת מצב תלונה &לחיצה על הפרופיל
לאחר יצירת הפרופיל, הכניסו אותו למצב מתלונן שבו AppArmor אינו מגביל את הפעולות שהוא יכול לבצע, אך במקום זאת הוא מבצע רישום של כל ההגבלות שאחרת מתרחשות:
sudo aa-להתלונן /path/to/ בינארי
השתמש בתוכנית בדרך כלללזמן מה.לאחר השימוש בו בדרך כלל במצב התלונה, הפעל את הפקודה הבאה כדי לסרוק את יומני המערכת שלך עבור שגיאות ולעדכן את הפרופיל:
sudo aa-logprof
באמצעות Enforce Mode כדי לנעול את היישום
לאחר שתסיים לכוונן את פרופיל AppArmor שלך, הפעל את "אכיפת מצב" כדי לנעול את היישום:
sudo aa-enforce /path/to/ בינארי
ייתכן שתרצה להפעיל את הפקודה sudo aa-logprof בעתיד כדי לצבוט את הפרופיל שלך.
פרופילי AppArmor הם קבצי טקסט פשוטים, כך שתוכל לפתוח אותם בעורך טקסט ולכוונן ידנית.עם זאת, כלי עזר לעיל להדריך אותך בתהליך.
