2Jul
AppArmor jūsu Ubuntu sistēmā nobloķē programmas, ļaujot tiem piekļūt normālai izmantošanai tikai tiem atļaujām, kas ir īpaši noderīgas servera programmatūrai, kas var tikt apdraudēta. AppArmor ietver vienkāršus rīkus, kurus varat izmantot citu lietojumprogrammu bloķēšanai.
AppArmor pēc noklusējuma ir iekļauts Ubuntu un citos Linux sadalījumos. Ubuntu kuģo AppArmor ar vairākiem profiliem, taču jūs varat arī izveidot savus AppArmor profilus. AppArmor komunālie pakalpojumi var pārraudzīt programmas izpildi un palīdzēt izveidot profilu.
Pirms izveidojat savu lietojumprogrammas profilu, iespējams, vēlēsities pārbaudīt apparmor-profilu paketi Ubuntu krātuvēs, lai redzētu, vai jau esošs lietojumprogrammas profils ir ierobežots.
Izveidot &Pārbaudes plāna izpilde
Jums būs jāuzsāk programma, kamēr AppArmor to skato un izmanto visas savas parastās funkcijas. Būtībā programma jāizmanto tā, kā to lietotu parastajā lietošanā: palaidiet programmu, pārtrauciet to, atkārtoti ielādējiet to un izmantojiet visas tās funkcijas. Jums vajadzētu izstrādāt pārbaudes plānu, kas iet caur funkcijām, kas programmai jāveic.
Pirms palaidiet pārbaudes plānu, palaidiet termināli un palaidiet tālāk minētās komandas, lai instalētu un palaistu aa-genprof:
sudo apt-get install aparmor-utils
sudo aa-genprof /path/to/ binārā
Atstājiet aa-genprof darbojas terminālā,sāciet programmu un palaidiet iepriekš aprakstīto pārbaudes plānu. Jo visaptverošāks ir jūsu pārbaudes plāns, jo mazāk problēmu jūs izmantosiet vēlāk.
Kad esat pabeidzis testa plāna izpildi, atgriezieties pie termināļa un nospiediet S taustiņu, lai skenētu AppArmor notikumu sistēmas žurnālu.
Par katru notikumu jums tiks piedāvāts izvēlēties darbību. Piemēram, zemāk mēs varam redzēt, ka /usr/bin/ vīrietis, kuru mēs profilējām, izpildīja /usr/bin/ tbl. Mēs varam izvēlēties, vai /usr/bin/ tbl mantotu /usr/bin/ vīrusa drošības iestatījumus, neatkarīgi no tā, vai tas būtu jāstrādā ar savu AppArmor profilu, vai arī tam vajadzētu darboties nekonfigurētā režīmā.
Dažām citām darbībām jūs redzēsit dažādus uzvednes - šeit mēs ļaujam piekļūt /dev/ tty - ierīcei, kas pārstāv termināli
. Procesa beigās jums tiks piedāvāts saglabāt savu jauno AppArmor profilu.
Iespējo sūdzību režīms &Konfigurējot profilu
Pēc profila izveidošanas ievietojiet to "sūdzību režīmā", kur AppArmor neierobežo darbības, kuras tas var veikt, bet gan pierakstīs visus ierobežojumus, kas citādi varētu rasties:
sudo aa-complain /path/to/ binārā
Izmantojiet programmu parastikādu brīdi. Pēc tam, kad to parasti izmantojat sūdzību režīmā, palaidiet šādu komandu, lai skenētu sistēmas žurnālus par kļūdām un atjauninātu profilu:
sudo aa-logprof
Izmantojot Enforcing režīmu, lai bloķētu lietojumprogrammu
Pēc tam, kad esat pabeidzis precīzi pielāgot savu AppArmor profilu, lai iespējotu "izpildes režīmu", lai bloķētu lietojumprogrammu:
sudo aa-enforce /path/to/ binārā
Jūs varētu vēlēties palaist sudo aa-logprof komandu nākotnē, lai kniebiens jūsu profilu.
AppArmor profili ir vienkāršie teksta faili, tādēļ tos var atvērt teksta redaktorā un pielāgot tos rokām. Tomēr iepriekš minētie komunālie pakalpojumi palīdz jums caur procesu.
