2Jul
AppArmor zaklene programe v vašem Ubuntu sistemu, ki jim omogoča le dovoljenja, ki jih potrebujejo pri običajni uporabi - še posebej uporabna za strežniško programsko opremo, ki utegne biti ogrožena. AppArmor vsebuje preprosta orodja, ki jih lahko uporabite za zaklepanje drugih aplikacij.
AppArmor je privzeto vključen v Ubuntu in nekatere druge distribucije Linuxa. Ubuntu dostavlja AppArmor z več profili, lahko pa ustvarite tudi lastne profile AppArmor. Utilities AppArmor lahko spremlja izvajanje programa in vam pomaga ustvariti profil.
Preden ustvarite svoj profil za aplikacijo, boste morda želeli preveriti paket aparatov-profilov v zbirkah Ubuntu, da vidite, ali že obstaja profil za aplikacijo, ki jo želite omejiti.
Ustvari &Zaženite testni načrt
Program boste morali zagnati, medtem ko ga bo AppArmor gledal in hodil po vseh običajnih funkcijah. V bistvu bi morali uporabiti program, saj bi ga uporabljali pri normalni uporabi: zaženite program, ga zaustavite, znova naložite in uporabite vse njegove funkcije. Oblikovati morate načrt testiranja, ki poteka skozi funkcije, ki jih mora program izvajati.
Pred izvajanjem testnega načrta zaženite terminal in za namestitev in zagon aa-genprof namestite in zaženite naslednje ukaze:
sudo apt-get namestite apparmor-utils
sudo aa-genprof /path/to/ binarni
Leave aa-genprof, ki se izvaja v terminalu,zaženite program in zaženite načrt testiranja, ki ste ga določili zgoraj. Bolj celosten načrt za testiranje, manj težav, s katerimi se boste kasneje srečali.
Ko končate z izvajanjem testnega načrta, se vrnite v terminal in pritisnite tipko S za skeniranje sistemskega dnevnika za dogodke AppArmor.
Za vsak dogodek boste pozvani, da izberete dejanje. Na primer spodaj lahko vidimo, da je /usr/bin/ človek, ki smo ga profilirali, izvedel /usr/bin/ tbl. Izberemo lahko, ali naj /usr/bin/ tbl podeduje varnostne nastavitve /usr/bin/ človeka, ne glede na to, ali naj se izvaja z lastnim profilom AppArmor ali pa naj se izvaja v neizključenem načinu.
Za nekatere druge ukrepe boste videli različne pozive - tukaj dovolimo dostop do /dev/ tty, naprave, ki predstavlja terminal
Na koncu procesa boste pozvani, da shranite nov profil AppArmor.
Omogoči način pritožbe &Preoblikovanje profila
Ko ustvarite profil, ga vstavite v način pritožbe, kjer AppArmor ne omejuje dejanj, ki jih lahko sprejme, ampak namesto tega zabeleži kakršne koli omejitve, ki bi se sicer pojavile:
sudo aa-pritožite /path/to/ binarno
Uporabite program običajnoza nekaj časa. Ko ga običajno uporabite v načinu pritožbe, zaženite naslednji ukaz, če želite pregledati sistemske dnevnike za napake in posodobiti profil:
sudo aa-logprof
Uporaba načina Enforce za zaklepanje aplikacije
Ko končate natančno nastavitev svojega profila AppArmor, omogočite "izvršilni način", da zaklene aplikacijo:
sudo aa-izvrši /path/to/ binarni
Morda boste želeli zagnati ukaz sudo aa-logprof v prihodnosti, da bi nastavili svoj profil.
Profili AppArmor so datoteke z navadnim besedilom, zato jih lahko odprete v urejevalniku besedil in jih potegnete ročno. Vendar pa vas utility zgoraj vodi skozi proces.