2Jul
AppArmor zablokuje programy vo vašom systéme Ubuntu a umožňuje im len povolenia, ktoré vyžadujú pri bežnom používaní - obzvlášť užitočné pre serverový softvér, ktorý môže byť ohrozený.AppArmor obsahuje jednoduché nástroje, ktoré môžete použiť na uzamknutie iných aplikácií.
AppArmor je štandardne zahrnutý v Ubuntu a niektorých ďalších distribuciách Linuxu. Ubuntu sa ukladá AppArmor s niekoľkými profilmi, ale môžete si tiež vytvoriť vlastné profily AppArmor. Pomôcky aplikácie AppArmor môžu sledovať vykonávanie programu a pomôcť vám vytvoriť profil.
Pred vytvorením vlastného profilu pre aplikáciu môžete skontrolovať balík apparmor-profiles v úložiskách Ubuntu, aby ste zistili, či profil pre aplikáciu, ktorú chcete obmedziť, už existuje.
Vytvoriť &Spustenie testovacieho plánu
Budete musieť spustiť program, zatiaľ čo AppArmor ho sleduje a prechádza cez všetky jeho bežné funkcie. V podstate by ste mali používať program tak, ako by sa používal pri bežnom používaní: spustite program, zastavte ho, znovu ho načítajte a používajte všetky jeho funkcie. Mali by ste navrhnúť plán testov, ktorý prechádza cez funkcie, ktoré program potrebuje na vykonanie.
Pred spustením testovacieho plánu spustite terminál a spustite nasledujúce príkazy na inštaláciu a spustenie aa-genprof:
sudo apt-get inštalovať apparmor-utils
sudo aa-genprof /path/to/ binárne
Ponechajte aa-genprof spustený v termináli,spustite program a spustite plán testovania, ktorý ste navrhli vyššie.Čím komplexnejší je váš testovací plán, tým menej problémov budete neskôr.
Po dokončení testovacieho plánu sa vráťte do terminálu a stlačte kláves S na skenovanie systémového denníka pre udalosti AppArmor.
Pre každú udalosť sa zobrazí výzva na výber akcie. Napríklad nižšie vidíme, že človek /usr/bin/, ktorý sme profilovali, vykonal /usr/bin/ tbl. Môžeme vybrať, či /usr/bin/ tbl by mal zdediť bezpečnostné nastavenia /usr/bin/ človeka, či by mal bežať s vlastným profilom AppArmor, alebo či by mal bežať v neupravenom režime.
U niektorých ďalších akcií uvidíte rôzne výzvy - tu umožňujeme prístup k /dev/ tty, zariadeniu, ktoré predstavuje terminál
. Na konci procesu budete vyzvaní na uloženie nového profilu AppArmor.
Povolenie režimu Complain &Upravovanie profilu
Po vytvorení profilu ho umiestnite do režimu sťažností, kde AppArmor neobmedzuje akcie, ktoré môže trvať, ale namiesto toho zaznamená všetky obmedzenia, ktoré by inak nastali:
sudo aa-stížnosť /path/to/ binárne
Program používajte normálnena chvíľu. Po jeho bežnom používaní v režime sťažnosti spustite nasledujúci príkaz na skenovanie systémových denníkov pre chyby a aktualizáciu profilu:
sudo aa-logprof
Použitie režimu vynútenia na uzamknutie aplikácie
Po dokončení jemného ladenia vášho profilu AppArmor, povoliť režim vynútenia uzamknúť aplikáciu:
sudo aa-enforce /path/to/ binárne
Možno budete chcieť v budúcnosti spustiť sudo aa-logprof príkaz na vyladenie vášho profilu.
AppArmor profily sú obyčajné textové súbory, takže ich môžete otvoriť v textovom editore a vyladiť ich ručne. Užitočné nástroje vás však vedú celým procesom.