2Jul

Kaip sukurti "AppArmor" profilius, norint užblokuoti "Ubuntu" programas

AppArmor užrakina programas savo Ubuntu sistemoje, leidžiant jiems tik leidimus, kurių jie reikalauja įprastam naudojimui, ypač naudingos serverio programinei įrangai, kuri gali būti pažeista."AppArmor" apima paprastus įrankius, kuriuos galite naudoti užrakinti kitas programas.

AppArmor pagal numatytuosius nustatymus įtraukiamas į Ubuntu ir kai kuriuos kitus "Linux" paskirstymus."Ubuntu" pateikia "AppArmor" kelis profilius, tačiau taip pat galite kurti savo "AppArmor" profilius. AppArmor komunalinės paslaugos gali stebėti programos vykdymą ir padėti kurti profilį.

Prieš sukurdami savo programos profilį, galbūt norėsite patikrinti "apparmor" profilių paketą Ubuntu saugyklose, kad sužinotumėte, ar jau esamas norimas apriboti programos profilis.

Sukurti &Bandymo plano paleidimas

Jums reikės paleisti programą, o "AppArmor" ją žiūri ir vykdo visas įprastas funkcijas. Iš esmės, turėtumėte naudoti programą, nes ji būtų naudojama įprastam naudojimui: paleiskite programą, sustabdykite ją, iš naujo įkelkite ją ir naudokite visas jos funkcijas. Turėtumėte parengti bandymo planą, kuris atliktų funkcijas, kurias programa turi atlikti.

Prieš paleidžiant bandymo planą, paleiskite terminalą ir paleiskite šias komandas, kad įdiegtumėte ir paleistumėte aa-genprof:

sudo apt-get install hardware-utils

sudo aa-genprof /path/to/ dvejetainis

Palikite aa-genprof paleisti terminalą,paleiskite programą ir paleiskite pirmiau nurodytą bandymo planą.Kuo išsamesnis jūsų bandymo planas, tuo mažiau problemų atsirasite vėliau.

Baigę atlikti bandymo planą, grįžkite į terminalą ir paspauskite S klavišą, kad nuskaitytumėte "AppArmor" įvykių sistemos žurnalą.

Kiekvienam įvykiui būsite paraginti pasirinkti veiksmą.Pavyzdžiui, žemiau mes galime pamatyti, kad /usr/bin/ žmogus, kurį mes profiliuojame, atliko /usr/bin/ tbl. Mes galime pasirinkti, ar /usr/bin/ tbl turėtų paveldėti /usr/bin/ žmogaus saugos parametrus, ar jis turėtų veikti su savo "AppArmor" profiliu, ar jis turėtų veikti nekonfigūruotu režimu.

Kai kuriems kitiems veiksmams matysite skirtingus raginimus - čia mes suteikiame prieigą prie /dev/ tty - įrenginio, kuris reiškia terminalą

. Proceso pabaigoje būsite paraginti išsaugoti savo naują "AppArmor" profilį.

Skambučių režimo &Tweaking Profile

Sukūrę profilį, įkelkite jį į "skundų režimą", kur "AppArmor" neapriboja veiksmus, kurių ji gali imtis, bet įrašo visus apribojimus, kurie kitu atveju būtų:

sudo aa-complain /path/to/ dvejetainis

Naudokite programą paprastaikurį laiką.Po to, kai paprastai naudojate skundų režimu, paleiskite šią komandą, kad nuskaitytumėte savo sistemos žurnalus apie klaidas ir atnaujintumėte profilį:

sudo aa-logprof

"Enforcing" režimo naudojimas uždaryti programą

Kai baigsite tiksliai suderinti "AppArmor" profilį, įjunkite "vykdymo režimą", kad užrakintumėte programą:

sudo aa-enforce /path/to/ dvejetainis

ateityje galbūt norėsite paleisti sudo aa-logprof komandą, kad galėtumėte keisti savo profilį.

"AppArmor" profiliai yra paprasto teksto failai, todėl juos galite atidaryti teksto redaktoriuje ir keisti juos rankomis. Tačiau pirmiau pateiktos komunalinės paslaugos padės jums atlikti procesą.