2Jul
AppArmor vergrendelt programma's op uw Ubuntu-systeem, waardoor ze alleen de permissies hebben die ze nodig hebben bij normaal gebruik - met name nuttig voor serversoftware die mogelijk in gevaar komt. AppArmor bevat eenvoudige hulpmiddelen die u kunt gebruiken om andere toepassingen te vergrendelen.
AppArmor is standaard inbegrepen in Ubuntu en enkele andere Linux-distributies. Ubuntu verzendt AppArmor met verschillende profielen, maar u kunt ook uw eigen AppArmor-profielen maken. AppArmor's hulpprogramma's kunnen de uitvoering van een programma controleren en u helpen bij het maken van een profiel.
Voordat u uw eigen profiel voor een toepassing maakt, kunt u het pakket met apparmor-profielen in de repositories van Ubuntu controleren om te zien of er al een profiel bestaat voor de toepassing die u wilt beperken.
Maken &Een testplan uitvoeren
U moet het programma uitvoeren terwijl AppArmor het bekijkt en alle normale functies doorloopt. Kortom, je zou het programma moeten gebruiken zoals het zou worden gebruikt bij normaal gebruik: start het programma, stop het, laad het opnieuw en gebruik alle functies ervan. U moet een testplan ontwerpen dat de functies doorloopt die het programma moet uitvoeren.
Voordat u uw testplan doorloopt, start u een terminal en voert u de volgende opdrachten uit om aa-genprof te installeren en uit te voeren:
sudo apt-get install apparmor-utils
sudo aa-genprof /path/to/ binair
Laat aa-genprof in de terminal actief,start het programma en doorloop het testplan dat u hierboven hebt ontworpen. Hoe uitgebreider uw testplan, hoe minder problemen u later zult tegenkomen.
Nadat u klaar bent met het uitvoeren van uw testplan, keert u terug naar de terminal en drukt u op de S -toets om het systeemlogboek voor AppArmor-gebeurtenissen te scannen.
Voor elke gebeurtenis wordt u gevraagd om een actie te kiezen. We kunnen hieronder bijvoorbeeld zien dat de /usr/bin/-man, die we hebben geprofileerd, /usr/bin/-tbl heeft uitgevoerd. We kunnen selecteren of /usr/bin/ tbl de beveiligingsinstellingen van de /usr/bin/ moet overnemen, of deze met een eigen AppArmor-profiel moet worden uitgevoerd of dat deze in de onbegrensde modus moet worden uitgevoerd.
Voor sommige andere acties ziet u verschillende aanwijzingen - hier geven we toegang tot /dev/ tty, een apparaat dat de terminal
vertegenwoordigt. Aan het eind van het proces wordt u gevraagd om uw nieuwe AppArmor-profiel op te slaan.
Klachtmodus inschakelen &Het profiel aanpassen
Nadat u het profiel hebt gemaakt, plaatst u het in de "complain-modus", waarbij AppArmor de acties die het kan ondernemen niet beperkt, maar in plaats daarvan beperkingen registreert die anders zouden optreden:
sudo aa-complain /path/to/ binary
Het programma normaal gebruikenvoor een poosje. Nadat u het normaal hebt gebruikt in de klagende modus, voert u de volgende opdracht uit om uw systeemlogboeken te scannen op fouten en het profiel bij te werken:
sudo aa-logprof
De Enforce-modus gebruiken om de toepassing te vergrendelen
Nadat u klaar bent met het afstemmen van uw AppArmor-profiel, schakel "enforce mode" in om de toepassing te vergrendelen:
sudo aa-enforce /path/to/ binary
U kunt in de toekomst de opdracht sudo aa-logprof uitvoeren om uw profiel aan te passen.
AppArmor-profielen zijn platte tekstbestanden, dus u kunt ze openen in een teksteditor en ze handmatig aanpassen. De hulpprogramma's hierboven leiden u echter eerst door het proces.