2Jul
AppArmor blochează programele de pe sistemul dvs. Ubuntu, permițându-le doar permisiunile necesare în condiții normale de utilizare - deosebit de utile pentru software-ul server care ar putea deveni compromis. AppArmor include instrumente simple pe care le puteți utiliza pentru a bloca alte aplicații.
AppArmor este inclus în mod implicit în Ubuntu și în alte distribuții Linux. Ubuntu livrează AppArmor cu mai multe profiluri, dar puteți crea și propriile profiluri AppArmor. Aplicațiile AppArmor pot monitoriza execuția unui program și vă pot ajuta să creați un profil.
Înainte de a vă crea propriul profil pentru o aplicație, vă recomandăm să verificați pachetul apparmor-profiles din depozitele Ubuntu pentru a vedea dacă există deja un profil pentru aplicația pe care doriți să o limitați.
Creați &Executarea unui plan de testare
Va trebui să rulați programul în timp ce AppArmor îl urmărește și trece prin toate funcțiile sale normale. Practic, ar trebui să folosiți programul ca și cum ar fi folosit în uz normal: porniți programul, opriți-l, reîncărcați-l și utilizați toate caracteristicile acestuia. Ar trebui să creați un plan de testare care să treacă prin funcțiile pe care programul trebuie să le îndeplinească.
Înainte de a trece prin planul de testare, lansa un terminal și rulați următoarele comenzi pentru a instala și rula AA-genprof:
sudo apt-get install AppArmor-utils
sudo-aa genprof /path/to/
binar Lăsați AA-genprof rulează în terminal,porniți programul și treceți prin planul de testare pe care l-ați proiectat mai sus. Cu cât planul dvs. de testare este mai cuprinzător, cu atât mai puține probleme pe care le veți întâlni mai târziu.
După ce ați terminat de executat planul de testare, reveniți la terminal și apăsați tasta S pentru a scana jurnalul de sistem pentru evenimentele AppArmor.
Pentru fiecare eveniment, vi se va solicita să alegeți o acțiune. De exemplu, mai jos vedem că omul /usr/bin/, pe care l-am profilat, a executat /usr/bin/ tbl. Putem selecta dacă /usr/bin/ tbl ar trebui să moștenească setările de securitate ale /usr/bin/, indiferent dacă ar trebui să ruleze cu propriul profil AppArmor sau dacă ar trebui să ruleze în mod neconfined.
Pentru alte acțiuni, veți vedea diferite solicitări - aici permitem accesul la /dev/ tty, un dispozitiv care reprezintă terminalul
. La sfârșitul procesului, vi se va solicita salvarea noului profil AppArmor.
Activarea modului Complain &Tweaking Profil
După crearea profilului, pune-l în „modul se plâng,“ în cazul în care AppArmor nu restricționează acțiunile pe care le poate lua, dar în schimb jurnalele de orice restricții care ar avea loc altfel:
sudo-aa plîng /path/to/ binar
Folosiți programul normalpentru o vreme. După utilizarea în mod normal în modul se plâng, executați următoarea comandă pentru a scana jurnalele de sistem pentru erori și actualiza profilul:
sudo-aa logprof Utilizarea Impunere Mode pentru a Lock Down
Aplicație După ce ați terminat-reglând profilul AppArmor, activați „modul de aplicare“ pentru a bloca acțiunea:
sudo-aa pune în aplicare /path/to/
binare poate doriți să rulați comanda aa-logprof sudo în viitor pentru a optimiza profilul tau. Profilele
AppArmor sunt fișiere cu text simplu, astfel încât să le puteți deschide într-un editor de text și să le modificați manual. Totuși, utilitățile de mai sus vă ghidează prin proces.
