2Jul

AppArmor-profielen maken om programma's op Ubuntu te vergrendelen

AppArmor vergrendelt programma's op uw Ubuntu-systeem, waardoor ze alleen de permissies hebben die ze nodig hebben bij normaal gebruik - met name nuttig voor serversoftware die mogelijk in gevaar komt. AppArmor bevat eenvoudige hulpmiddelen die u kunt gebruiken om andere toepassingen te vergrendelen.

AppArmor is standaard inbegrepen in Ubuntu en enkele andere Linux-distributies. Ubuntu verzendt AppArmor met verschillende profielen, maar u kunt ook uw eigen AppArmor-profielen maken. AppArmor's hulpprogramma's kunnen de uitvoering van een programma controleren en u helpen bij het maken van een profiel.

Voordat u uw eigen profiel voor een toepassing maakt, kunt u het pakket met apparmor-profielen in de repositories van Ubuntu controleren om te zien of er al een profiel bestaat voor de toepassing die u wilt beperken.

Maken &Een testplan uitvoeren

U moet het programma uitvoeren terwijl AppArmor het bekijkt en alle normale functies doorloopt. Kortom, je zou het programma moeten gebruiken zoals het zou worden gebruikt bij normaal gebruik: start het programma, stop het, laad het opnieuw en gebruik alle functies ervan. U moet een testplan ontwerpen dat de functies doorloopt die het programma moet uitvoeren.

Voordat u uw testplan doorloopt, start u een terminal en voert u de volgende opdrachten uit om aa-genprof te installeren en uit te voeren:

sudo apt-get install apparmor-utils

sudo aa-genprof /path/to/ binair

Laat aa-genprof in de terminal actief,start het programma en doorloop het testplan dat u hierboven hebt ontworpen. Hoe uitgebreider uw testplan, hoe minder problemen u later zult tegenkomen.

Nadat u klaar bent met het uitvoeren van uw testplan, keert u terug naar de terminal en drukt u op de S -toets om het systeemlogboek voor AppArmor-gebeurtenissen te scannen.

Voor elke gebeurtenis wordt u gevraagd om een ​​actie te kiezen. We kunnen hieronder bijvoorbeeld zien dat de /usr/bin/-man, die we hebben geprofileerd, /usr/bin/-tbl heeft uitgevoerd. We kunnen selecteren of /usr/bin/ tbl de beveiligingsinstellingen van de /usr/bin/ moet overnemen, of deze met een eigen AppArmor-profiel moet worden uitgevoerd of dat deze in de onbegrensde modus moet worden uitgevoerd.

Voor sommige andere acties ziet u verschillende aanwijzingen - hier geven we toegang tot /dev/ tty, een apparaat dat de terminal

vertegenwoordigt. Aan het eind van het proces wordt u gevraagd om uw nieuwe AppArmor-profiel op te slaan.

Klachtmodus inschakelen &Het profiel aanpassen

Nadat u het profiel hebt gemaakt, plaatst u het in de "complain-modus", waarbij AppArmor de acties die het kan ondernemen niet beperkt, maar in plaats daarvan beperkingen registreert die anders zouden optreden:

sudo aa-complain /path/to/ binary

Het programma normaal gebruikenvoor een poosje. Nadat u het normaal hebt gebruikt in de klagende modus, voert u de volgende opdracht uit om uw systeemlogboeken te scannen op fouten en het profiel bij te werken:

sudo aa-logprof

De Enforce-modus gebruiken om de toepassing te vergrendelen

Nadat u klaar bent met het afstemmen van uw AppArmor-profiel, schakel "enforce mode" in om de toepassing te vergrendelen:

sudo aa-enforce /path/to/ binary

U kunt in de toekomst de opdracht sudo aa-logprof uitvoeren om uw profiel aan te passen.

AppArmor-profielen zijn platte tekstbestanden, dus u kunt ze openen in een teksteditor en ze handmatig aanpassen. De hulpprogramma's hierboven leiden u echter eerst door het proces.