2Jul
AppArmor sperrer programmer på Ubuntu-systemet, slik at de bare får tillatelsene de trenger i normal bruk - spesielt nyttig for serverprogramvare som kan bli kompromittert. AppArmor inneholder enkle verktøy du kan bruke til å låse ned andre applikasjoner.
AppArmor er inkludert som standard i Ubuntu og noen andre Linux-distribusjoner. Ubuntu sender AppArmor med flere profiler, men du kan også lage dine egne AppArmor-profiler. AppArmors verktøy kan overvåke et programs utførelse og hjelpe deg med å opprette en profil.
Før du oppretter din egen profil for et program, kan det hende du vil sjekke apparmorprofilpakken i Ubuntu's repositories for å se om en profil for programmet du vil begrense allerede eksisterer.
Opprett &Kjører en testplan
Du må kjøre programmet mens AppArmor ser det og går gjennom alle sine normale funksjoner. I utgangspunktet bør du bruke programmet som det ville bli brukt til vanlig bruk: start programmet, stopp det, last det og bruk alle funksjonene. Du bør designe en testplan som går gjennom funksjonene programmet må utføre.
Før du kjører gjennom testplanen, start en terminal og kjør følgende kommandoer for å installere og kjøre aa-genprof:
sudo apt-installer apparmor-utils
sudo aa-genprof /path/to/ binær
La aa-genprof kjøre i terminalen,start programmet, og løp gjennom testplanen du har designet ovenfor. Jo mer omfattende testplanen din, desto mindre problemer kommer du til senere.
Når du er ferdig med å utføre testplanen, gå tilbake til terminalen og trykk på S -tasten for å skanne systemloggen for AppArmor-hendelser.
For hver hendelse blir du bedt om å velge en handling. For eksempel, under kan vi se at /usr/bin/ mann, som vi profilerte, utførte /usr/bin/ tbl. Vi kan velge om /usr/bin/ tbl skal arve /usr/bin/ manns sikkerhetsinnstillinger, om den skal kjøre med egen AppArmor-profil, eller om den skal kjøre i ubegrenset modus.
For noen andre handlinger vil du se forskjellige instruksjoner - her tillater vi tilgang til /dev/ tty, en enhet som representerer terminalen
Ved slutten av prosessen blir du bedt om å lagre den nye AppArmor-profilen din.
Aktiverer Klagemodus &Klargjøre profilen
Etter å ha opprettet profilen, legg den inn i "klage modus", der AppArmor ikke begrenser handlingene det kan ta, men logger i stedet noen restriksjoner som ellers ville oppstå:
sudo aa-klage /path/to/ binær
Bruk programmet normalten stund. Etter å ha brukt det normalt i klage-modus, kjør følgende kommando for å skanne systemloggene dine for feil og oppdatere profilen:
sudo aa-logprof
Bruke Enforce-modus for å låse ned applikasjonen
Når du er ferdig med å finjustere AppArmor-profilen din, aktiver "håndhev modus" for å låse ned applikasjonen:
sudo aa-enforce /path/to/ binær
Du vil kanskje kjøre sudo aa-logprof kommandoen i fremtiden for å finjustere profilen din.
AppArmor-profiler er enkle tekstfiler, så du kan åpne dem i et tekstredigeringsprogram og justere dem for hånd. Men verktøyene ovenfor veileder deg gjennom prosessen.